Mirai出现新变种,内置有域名生成算法


E安全12月15日讯 新近被发现的Mirai僵尸网络变种包含有域名生成算法(简称DGA),安全研究人员警告称这一特性与此前任何已发现的Mirai样本皆存在显著区别。

横行物联网的“Mirai”恶意软件出现于几个月前,但其凭借着今年9月末指向安全博主Brian Krebs多个网站以及托管服务商OVH的数波规模巨大的分布式拒绝服务(简称DDoS)攻击而广为人知。然而更令人震惊的是,就在今年10月初源代码被正式公布后,Mirai又掀起了新一波威胁浪潮。

截至10月末,研究人员发现Mirai已经感染了全球164个国家的设备。同样是在今年10月,Mirai据称被用于组织针对DNS服务商Dyn公司的大规模DDoS攻击,并直接导致美国众多高人气网站无法为用户正常访问。

不出所料,Mirai源代码的公开直接导致众多新型恶意软件变种被创造出来,其中包括一款利用TR-064协议向受感染设备发送指令的Mirai类蠕虫病毒。根据360网络安全研究实验室研究人员的说法,着眼于其从6台托管服务器处利用蜜罐捕捉到的数据,目前至少存在53种独特的Mirai样本。

更重要的是,研究人员发现新的Mirai样本通过TCP端口7547与5555进行传播。另外,研究人员还发现该恶意软件的作者所使用的dlinchkravitz[at]gmail[dot]com邮箱还注册了多个新的域名。

根据安全研究人员的说法,各经过分析的恶意软件样本采用3类顶级域名(简称TLD),分别为.online、.tech以及.support,且各自配合由12个字符组成的二级域名,其中各字符从a到z这26个字母中随机选择。安全研究人员们还提醒称,其生成的域名是由月、日外加硬编码子字符串所构成。

然而,现在来看这些新的Mirai变种只会在硬编码命令与控制(简称C&C)域名无法解析时才会使用这些DGA域名。另外,该恶意软件每天只会生成一个域名,这意味着其每年的最大域名生成量为365个。研究人员已经能够成功预测这些域名。

根据分析样本可以看到,恶意软件当中包含3台硬编码C&C控制器,且其会生成一条随机数字以从前两台控制器中选择一台。然而,如果选定的域名无法解析,该恶意软件会根据当前日期重试并利用DGA或者尝试解决第三条C&C域名。

在11月1日到12月3日之间,该恶意软件会选择解析第三个C&C域名,但在其它时段其会执行DGA分支。基本上,作者并不希望在12月4日之前使用各DGA域名,这与各域名的注册日期完全吻合。

“该域名基于子编号及当前日期生成。其子编号会通过调用strtol()由一条硬编码HEX格式客串转换得出。其中配置的一条\x90\x91\x80\x90\x90\x91\x80\x90字符串似乎存在错误,因为其会始终令strtol()返回0值。其本地日期通过调用time()localtime()两项C库函数获得。这里只使用月与日两个数值,”安全研究人员解释称。

在发现使用该DGA功能的恶意软件样本之后,安全研究人员们注意到,其全部共享具有同样子字符串与算法形式的DGA。

相关阅读:

Linux/Mirai ELF :专门攻击物联网设备的恶意软件
物联网恶意软件“Mirai”几乎感染了全球物联网设备
关于Dyn/Twitter受攻击情况的说明和Mirai僵尸网络的回顾
“菜鸟”黑客给物联网蠕虫Mirai新添 “弱智”功能
Mirai源代码存在内存缓冲区溢出漏洞
研究人员在Mirai源代码中发现了一个可反制该恶意软件的漏洞
有人刚使用Mirai僵尸网络摧垮整个国家的网络
两名黑客出租包含40万设备的Mirai僵尸网络

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。