freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

MIRAI OKIRU——历史上首个针对ARC CPU的Linux恶意软件
2018-01-16 08:30:10

2016年8月, 来自@ MalwareMustDie  团队的研究人员@ unixfreaxjp率先发现了可怕的僵尸网络Mirai,现在这位研究人员在恶意软件社区宣告了新的重大事件。

unixfreaxjp有史以来第一次发现一种旨在感染ARC CPU的Linux恶意软件,这种新的Linux ELF恶意软件被称为MIRAI OKIRU。这是恶意程序第一次专门针对基于ARC的系统,Mirai Okiru在发现时几乎所有的杀毒引擎都检测不到。

ARC-OKIRU.png

MalwareMustDie说,“ 请注意这一事实,并准备好病毒Mirai(特别是Okiru)对尚未感染的设备可能产生的更大影响。”  

Linux物联网的威胁形势正在迅速变化,骗子将开始瞄准基于ARC CPU的物联网设备。

MalwareMustDie表示,从这一天起,Linux物联网感染的形势将会改变。 每年ARC CPU已经提供给超过十亿的物联网设备使用。因此,这些设备正是黑客瞄准的目标,这将是一个严重的威胁 !

正如同事_odisseus强调的那样  ,这种僵尸网络的影响可能是毁灭性的,ARC嵌入式处理器每年出货量预计超过15亿。这意味着可能暴露的设备数量是庞大的,并且如此强大的僵尸网络可以用于多种恶意目的。

“ARC  (Argonaut  RISC  Core)嵌入式处理器是由ARC International最初设计的一系列32位CPU。它们广泛用于存储,家庭,移动,汽车和物联网应用的SoC器件。ARC处理器已经被超过200个组织授权和运每年超过1.5十亿的产品。” 

——来自维基百科

微信截图_20180115111305.png

“Mirai Okiru变种是非常危险的,如果你看到变种代码+加密方式中编码器采用了怎样具体的创新改造,你会明白我的意思,现在他们是第一个瞄准ARC核心的恶意软件。如果不阻止的话,这些家伙会变得更加混乱。”MalwareMustDie写道。

TTIOzju.png

如MalwareDustdie所解释的,Mirai Satori变体与Okiru非常不同,这一点非常重要。

1.“ 从我们迄今观察到的情况来看。这两种类型是非常不同的(在几个常见的相似特征之中),我们认为有不同的规则来检测Mirai变体Okiru和Satori;

2.一些简单的特征将Okiru和Satori变体区分开来:

配置是不同的,Okiru变种的配置是分为两部分加密包括远程登录密码加密,  Satori并没有将它分成两部分部分,而且不加密默认密码。此外,Okiru的远程登录攻击登录信息有点长(可以达到114个凭证,最多可以统计),而Satori拥有不同的以及更短的数据库。;

Satori似乎通过随机的UDP有“TSource引擎查询”​​共同的分布式“反射”(DRDoS)攻击功能,而Okiru似乎没有这个功能

Okiru和Satori在他们的配置中编写的感染跟进命令有点不同,表明他们似乎没有共享相同的环境的可能性;

最多四种类型的路由器攻击漏洞利用代码在Okiru变体中只被硬编码,但是Satori完全不使用这些漏洞;

Satori(见反编码的VT注释部分)使用小型嵌入式ELF木马下载器来下载与Okiru相比编码不同的其他架构二进制文件(请参阅反转代码在VT注释中);

(还有更多的未成年人的东西,你可以注意到上述观点中展示 的图片,如看门狗用法的差异, 命令  “echo -en \ x ...” 的用法等)

 ARC核心CPU基础编译Mirai Okiru ELF恶意软件(僵尸网络客户端)(ELF 32位LSB可执行文件,ARC内核Tangent-A5,版本1(SYSV),动态链接,解释器/lib/ld-uClibc.so.0 / Linux 4.8.0)。

构建一个由十亿个设备组成的强大Mirai Okiru僵尸网络的风险是可以实现的。

*参考来源:securityaffairs,FB小编Andy编译,转载请注明来自FreeBuf.COM

# linux # ARC # MIRAI OKIRU
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者