IBM X-Force部门的员工
发现了ELF Linux / Mirai Trojan变体 ,该
变体配备了
用于挖掘比特币的新
模块 。 和以前一样,具有蠕虫功能的木马通过连接到Internet的Linux操作系统搜索并感染易受攻击的设备-这些设备是数字录像机(DVR),电视机顶盒,视频监控摄像机,IP摄像机和路由器。
比特币挖矿是一种新的但值得期待的僵尸网络功能,以前仅用于DDoS攻击。 但是,要进行有利可图的DDoS攻击,您需要找到同意支付金钱以阻止攻击的客户或合适的受害者(该服务的定位是在信息安全,DDoS防护方面提供咨询服务,您可以达成协议)。 寻找攻击的客户和受害者是一项耗时的工作。 另一方面,开采比特币可带来持续的被动收入,无需任何努力。
攻击者不太可能在采矿上赚很多钱。 即使是成千上万的机顶盒和监控摄像机也无法计算出大量的哈希值。 僵尸网络所有者将获得一些“聪”。 但是,即使只有几个satoshi也总比没有好,因为僵尸网络仍然闲置。
在Internet设备上,哈希率简直是荒谬的。 没人测量。 众所周知,在Cortex-A8处理器上,哈希率是0.12-0.2 Mheshes / s,而在Cortex-A9上,哈希率是0.57 Mhesha / s。 大多数机顶盒的处理器性能较弱。
回想一下Mirai蠕虫和僵尸网络在2016年9月至10月发出了很多声响。 由于该蠕虫会自动按照
标准的登录密码组合进行分类 ,因此它设法传播到了数十万个设备(安全摄像机,路由器,数字机顶盒和DVR),并从中组织了数次DDoS攻击。 这些攻击的能力远远超过了标准PC僵尸网络的能力,因为普通计算机感染这种数量的病毒要困难得多。
去年9月,Mirai僵尸网络的首批受害者之一是专门从事信息安全和黑客反匿名化工作的记者Brian Krebs。 其提供商的峰值流量
达到了665 Gbps ,这已成为Internet历史上最强大的DDoS攻击之一。 Brian不得不使该站点脱机,因为Akamai将该站点从DDoS保护中删除了,以免损害其他客户。
2016年9月至10月,该僵尸网络被用于攻击法国托管服务提供商OVH,
并对Dyn公司进行了
强大的DDoS攻击,该公司为美国主要组织提供网络基础结构和DNS服务。 在这种情况下,来自数千万个IP地址的垃圾请求流约为1 Tbit / s。 世界各地的用户在访问Twitter,Amazon,Tumblr,Reddit,Spotify和Netflix等时遇到问题。 实际上,Mirai僵尸网络暂时“放下”了美国互联网的一小部分。
11月,Mirai的新版本从德国互联网提供商Deutsche Telekom的用户
那里攻击了Zyxel和Speedport路由器的几种型号 。 正如卡巴斯基实验室的调查显示的那样,这种蠕虫的修改版在这种情况下使用了一种新的分发方法-通过专用协议TR-064,供提供商用来远程控制用户设备。 如果可以从外部访问控制界面(在端口7547上),则可以通过打开对传统Web界面的访问阶段,在设备上下载并执行任意代码,或者执行相同的操作。
Mirai滴管Web控制台。 屏幕截图:IBM X-Force在蠕虫代码中发现
漏洞后,2016年9月至10月,黑客之间
爆发了一场
真正的战争 ,他们控制着Mirai僵尸网络。 尽管Brian Krebs最终
设法使 Mirai原始版本
的作者
匿名 ,但现在很可能对僵尸网络的控制属于其他黑客-一个或多个组。
带有内置矿工的Mirai的新版本可能属于为控制僵尸网络而战的组织之一。 到3月底,该版本恶意软件的活动记录了好几天。
据报道,该蠕虫是通过以前的方法传播的:扫描地址空间以搜索可通过Telnet(端口23)工作的新设备,并为其选择密码。 如果所有标准版本的Linux设备都安装了BusyBox和DVRHelper,则它们会受到威胁。