在协同关闭Mirai僵尸网络行动中,卡巴斯基实验室专家发现了首个基于Windows的用于传播Mirai恶意软件的僵尸网络
在协同关闭Mirai僵尸网络行动中,卡巴斯基实验室专家发现了首个基于Windows的用于传播Mirai恶意软件的僵尸网络。这种Windows僵尸程序的开发者在技术方面,比在2016年末发动大规模Mirai DDoS攻击的攻击者更为高超。所以,基于Mira i的攻击在未来颇让人担忧。这种恶意软件的开发者很可能使用的语言是中文。卡巴斯基实验室数据显示,2017年,遭受这种攻击的平台系统约有500个,那些在互联科技方面投资巨大的新兴市场面临的风险尤其严重。
基于Windows的恶意软件传播平台在功能方面比原始Mirai平台更为强大,但是新平台的大多数组件、技术和功能都是多年前的。其在传播Mirai恶意软件的能力方面有所限制:它只能从受干扰的Windows主机上讲Mirai僵尸程序传播到包含漏洞的Linux物联网设备上,前提是它能够成功破解远程telnet连接。
尽管有这些限制,但该平台的代码明显出自一位更有经验的开发者之手,尽管这名开发者才刚刚进入Mirai领域。该平台的一些特征,例如软件中的语言痕迹,还有代码是在中文系统上进行编译的,托管的主机服务器位于台湾,以及从中国公司盗取的代码签名证书,事实表明这名开发者应该是说中文的。
“Mirai的传播出现了Linux和Windows平台跨界现象,同时有更丰富经验的开发者加入,使得情况变得更为严重。2011年Zeus网银木马的源代码被公开,导致接下来几年在线社区麻烦不断――而2016年Mirai IoT僵尸程序源代码的公布将同样给互联网带来这样的问题。经验更为丰富的攻击者将带来更为复杂的技术和技巧,利用公开的Mirai代码实施攻击。基于Windows的能够传播IoT Mirai恶意软件的僵尸网络的出现,改变了这种恶意软件的传播进程,使得Mirai能够传播到之前无法企及的设备上。而这仅仅是个开始,”卡巴斯基实验室安全研究主管Kurt Baumgartner说。
根据卡巴斯基实验室遥测数据,2017年遭受这种Windows僵尸程序攻击的系统有近500个,这些攻击被检测到并拦截。
根据第二阶段攻击涉及的IP地址地理分布,最容易遭受攻击的国家是那些在互联技术方面投入巨大的新兴市场国家,例如印度、越南、沙特阿拉伯、中国、伊朗、巴西、摩洛哥、土耳其、马拉维、阿联酋、巴基斯坦、突尼斯、俄罗斯、摩尔多瓦、委内瑞拉、菲律宾、哥伦比亚、罗马尼亚、秘鲁、埃及和孟加拉。
卡巴斯基实验室正在同CERT、托管服务提供商以及网络运营商合作,打掉多个命令和控制服务器,消除其对互联网基础设施的威胁。快速并且成功关闭这些服务器,降低了风险,阻止了基于物联网的僵尸网络的迅速增长。由于卡巴斯基实验室在对抗威胁方面具有丰富的经验,同时同CERT和全球服务商具有合作关系,所以能够帮助促进打击这类网络威胁。
卡巴斯基实验室产品能够检测和清除基于Windows的Mirai僵尸程序。相关检测结果为:
Trojan.Win32.SelfDel.ehlq
Trojan.Win32.Agentb.btlt
Trojan.Win32.Agentb.budb
Trojan.Win32.Zapchast.ajbs
Trojan.BAT.Starter.hj
Trojan-PSW.Win32.Agent.lsmj
Trojan-Downloader.Win32.Agent.hesn
Trojan-Downloader.Win32.Agent.silgjn
Backdoor.Win32.Agent.dpeu
HEUR:Trojan-Downloader.Linux.Gafgyt.b
DangerousPattern.Multi.Generic (UDS)
要了解更多关于基于Windows的Mirai传播平台工具和技术详情,请阅读Securelist.com上的相关博文。