Mirai又出新變種，攻擊力史無前例

近日，著名的反惡意軟體組織MalwareMustDie的研究人員unixfreaxjp發現了史上首個攻擊ARC CPU的Linux惡意軟體，目前，他將這種新的Linux ELF惡意軟體被命名為MIRAI OKIRU。

還記得導致曾席捲全球，癱瘓各國互聯網服務的Mirai嗎？2016年8月，就是 unixfreaxjp首先發現了首先發現了Mirai殭屍網路，並讓它進入公眾的視野。由此可見，他在檢測Mirai殭屍網路上具有很強的專業能力。這不，看到MIRAI OKIRU，你自然而然就會想到Mirai殭屍網路，OKIRU確實是MIRAI的變種。

不過Mirai殭屍網路的變種並不是一開始就是OKIRU，在它之前還出現過一個叫做Satori的變種。Satori是在2017年12月初被發現的，它隨時都可能發起DDos攻擊，帶來嚴重的後果。據統計，Satori在爆發初期，短短12小時之內就感染了超過28萬個IP地址，並利用最新發現的零日漏洞控制了數十萬台家庭路由器。攻擊速度比Mirai快了不止一點點——如果把Mirai的威力比做一把槍，那麼Satori 就是大炮。只是，這台「大炮」目前像定時炸彈一樣，還沒有發威。

不過Satori 剛開始是以 Mirai Okiru 的名義被研究的，早在2017年11 月 23 日就有安全公司發現了Satori的蹤跡。不過，剛開始Satori 的絕大多數「肉雞」位於阿根廷。此後，該殭屍網路朝埃及、土耳其、烏克蘭、委內瑞拉和秘魯開始肆虐。

直到最近，真正的OKIRU才出現，比Satori晚了一個月左右，其攻擊能力似乎比Satori更大，且隱蔽性更好。因為在被發現之前幾乎沒有什麼安全措施可以檢測到它。

如果是這樣，那基於 ARC的物聯網設備將會帶來毀滅性的攻擊。ARC 嵌入式處理器目前已經被 200 多個組織授權，並且目前全球已有10億的物聯網設備是基於ARC cpu的，可見潛在的安全隱患是多麼的大。

ARC（Argonaut RISC Core）嵌入式處理器是由ARC International最初設計的一系列32位CPU。它們廣泛用於存儲，家庭，移動，汽車和物聯網應用的SoC器件。 ARC處理器已獲得200多家組織的許可，每年出貨量超過15億，如此強大的殭屍網路可以用於多種惡意目的。

Mirai Satori與Okiru的不同

1.配置不同：Okiru 變體的配置是以兩部分 w/ telnet 攻擊密碼加密，而 Satori 並不分割這兩個部分，也不加密默認密碼。並且 Okiru 的遠程攻擊登錄信息要長（可以達到114個憑證），而 Satori擁有著完全不同以及更短的資料庫；

2.Satori擁有分散式反射拒絕服務（DRDoS）攻擊功能，而Okiru似乎沒有這個功能；

3.在 Okiru 和 Satori 的配置中，感染跟進的命令有點不同，也就說他們沒有共享相同的「羊群效應（herding environment）」環境。

4.四種類型的路由器攻擊漏洞利用代碼在Okiru變體中只被硬編碼，但是Satori完全不使用這些漏洞；

5.Satori是使用小型嵌入式 ELF 木馬下載器來下載其他的架構二進位文件，與 Okiru相比其編碼方式存在不同。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！