安全研究工作組MalwareMustDie的研究人員unixfreaxjp發(fā)現首款專門感染ARC CPU的Linux惡意軟件。這款新型Linux ELF惡意軟件被命名為“Mirai Okiru”。Virustotal掃描結果顯示,幾乎所有反病毒產品均未檢測到這款惡意軟件。
ARC嵌入式處理器:
ARC嵌入式處理器是最初由ARC International 設計的系列32位CPU,廣泛用于家用、移動、汽車和IoT的SoC存儲設備。ARC處理器由200多家組織機構授權。
大量設備采用ARC CPUMalwareMustDie 表示,Linux IoT威脅形勢將發(fā)生變化,黑客將開始瞄準基于ARC CPU的IoT設備。這將是相當嚴重的威脅。
安全研究人員Odisseus也強調,此類僵尸網絡可能會帶來毀滅性影響。據估計,每年有超過15億臺設備使用ARC處理器。這就意味著潛在暴露的設備數量十分龐大,由這些暴露的設備組成的僵尸網絡可能被用來實現多種惡意意圖。
MalwareMustDie 表示,Mirai Okiru相當危險,因為編碼人員在代碼和加密中進行了“創(chuàng)新修改”。它是第一款針對ARC內核的惡意軟件。若不被阻止,這些黑客能掀起更大的風浪。
Mirai Satori與Okiru的不同之處MalwareDustdie指出,從研究目前觀察的情況來看,惡意軟件Mirai Satori與Okiru這兩個變種大相徑庭。研究人員認為,最好通過不同的規(guī)則檢測Okiru和Satori。Okiru與Satori的不同之處體現在如下方面:
配置不同:Okiru的配置分兩部分加密,Telnet暴力破解字典是加密的,而Satori未分成兩部分加密,也未對字典加密。Okiru的Telnet攻擊登錄信息較多(最多114個憑證),而Satori則擁有不同的數據庫,登錄信息稍短。
Satori似乎具有 DRDOS UDP DDOS攻擊功能,Okiru不具有該功能。
Okiru和Satori配置中的感染跟蹤命令存在區(qū)別,這表明這兩個變種可能未共享同一個控制環(huán)境。
Okiru中被硬編了4種類型的路由器攻擊利用代碼,然而Satori并未使用這些利用代碼。
Satori使用嵌入式ELF木馬下載小程序,以此下載其它架構二進制文件,其編碼與Okiru不同。
在使用Watchdog和“echo -en \x…”等方面存在不同。
黑客可能會利用超過10億的設備構建強大的Mirai Okiru僵尸網絡。