安全公司趋势科技发现一只Mirai病毒变种,会利用Tor网络来隐藏C&C服务器以防止遭缉查。安全公司认为这可能是IoT恶意程序开发的新兴趋势。
Mirai是一只物联网僵尸网络病毒,专门利用已知或未公开的安全漏洞感染无线摄影机、路由器与监视器等物联网设备,并控制这些设备发起分布式拒绝服务(DDoS)攻击,在2016年曾经攻陷过安全博客Krebs on Security、DNS供应商Dyn、ISP OVH等知名网站,之后衍生出多个变种持续危害网络,且感染对象也波及投影机、电视及服务器等。
而且迄今仍不停有Mirai变种产生。趋势科技7月中发现一只病毒,它会扫瞄网络上TCP ports 9527和34567的联网设备,判断其目标主要是网络摄影机、DVR等物联网设备,这点和旧版本Mirai一样,是通过暴露的传输端口和默认密码来感染设备并发动DDoS攻击。此外,它也使用Mirai相同的算法加密,由此可判断是Mirai的变种。研究人员以其中的字符串Longnose将之命名。
但是这只变种很特殊的是,它背后的黑客将控制的C&C服务器架在Tor网络中。普通Mirai变种有1到4台C&C服务器,但趋势科技发现Longnose有30个写死的IP位置。分析调用连接后发现,目的地是通往Tor网络的socks代理服务器。进一步研究显示,恶意程序是从一个代理服务器清单中随机挑选一台服务器,然后从socks5代理服务器启动查询,以该服务器为中继节点将封包传到位于Tor上的C&C服务器。如果连接失败就试另一台服务器。研究人员认为恶意程序作者意在借此防止C&C服务器被关注IP并通报域名管理者,进而遭到关闭。
事实上,2017年也曾经有恶意程序BrickerBot把恶意程序主机托管在Tor网络上(讽刺的是,Mirai当初也是因为BrickerBot的兴起而衰弱。)但趋势科技认为Mirai变种进化到这种手法,可能带动其他IoT恶意程序家族的演进,也预告新的网络威胁趋势。
安全公司呼吁用户应定期升级到最新版本的安全软件,同时避免连到不安全的网络,以免从开放互联网遭到感染。