|
|
Mirai 恶意程序是什么?
2016 年,全球发生了几起著名的 DDoS 攻击事件,9 月法国托管服务公司 OVH 遭遇了前所未有的大型 DDoS 攻击,攻击者黑入多个监控摄像头,形成僵尸网络进行攻击,服务器被攻击的峰值达到了每秒 1Tb。10 月,美国东海岸出现了大面积互联网断网事件,黑客入侵、控制了全世界十多万台智能硬件设备,组成了僵尸网络,对美国互联网域名解析服务商 DYN 进行 DDoS 攻击。11 月,德国电信遭遇一次大范围的网络故障。在此次故障中,2 千万固定网络用户中的大约 90 万个路由器发生故障,并由此导致大面积网络访问受限。随着研究人员对事件的深入调查分析,幕后黑手 Mirai 恶意软件浮出水面,因 Mirai 源码曝光,吸引了更多的黑客关注 Mirai,随后 Mirai 变种不断增加,使其迅速红遍全球,同时也将物联网安全推到风头浪尖。
Mirai 恶意软件能够感染各类存在漏洞的物联网设备,其中包括摄像头、数字录像机以及路由器等,这些感染的物联网设备组成僵尸网络,对目标实施大规模 DDoS 攻击。
BKDR_MIRAI.A 木马程序分析:
BKDR_MIRAI.A 木马通过连接 C&C 服务器搜寻目标,一旦成功入侵目标机器,其首先会判断目标机器的操作系统,如果是 Linux 系统,其会释放 Mirai 恶意软件并建立新的 Bot。如果是 Windows 系统,其会将自身拷贝到系统中,并继续寻找 Linux 目标机器。该恶意软件会根据操作系统不同而执行不同的功能。 该木马首先会检查系统是否打开如下端口: 22 (SSH), 23 (Telnet), 135 (DCE/RPC), 445 (ActiveDirectory), 1433 (MSSQL), 3306 (MySQL)和 3389 (RDP),这些端口通常用于文件共享,数据上传,以及远程桌面管理等。
基于目标端口分析,该木马还会识别系统中存在的 MySQL 和 Microsoft SQL Server 数据库,一旦识别出,其会建立管理员权限用户,例如:如果系统中存在 Microsoft SQL Server,其会建立 sysadmin权限的数据库用户“Mssqla”。拥有该权限的用户可以对数据库进行任何操作,如:更改数据库配置,关闭数据库,建立、修改、删除和恢复数据库等。该木马亦可攻击使用默认密码的家用路由器等物联网设备,亚信安全建议对于使用默认密码的物联网设备一定要及时修改密码,设置复杂密码。目前该木马虽然只用于传播 Mirai 病毒,但也能用于传播破坏性更强的病毒,其潜在危害性不容忽视。
预防措施
1.更新杀毒软件病毒码版本。
2.使用合适的威胁发现设备 TDA 提供高级网络防护,监控所有连接端口以及 80 多种通讯协议,分析所有进出的网络数据流量。通过其特殊的侦测引擎与定制化沙箱,能发现并分析攻击者使用的恶意软件、幕后操纵(C&C)恶意通讯,以及隐匿的攻击活动。
|
|
发表于 2017-3-22 11:22:27
收藏
|