WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Biến thể Mirai nhắm mục tiêu vào các thiết bị sử dụng CPU ARC
Một biến thể mới được phát hiện của botnet Mirai đang nhắm vào các thiết bị sử dụng bộ xử lý có nhúng ARC (Argonaut RISC Core).
Được gọi là Okiru, biến thể mới của mã độc dường như khá khác với botnet Satori, mặc dù Satori cũng được tác giả của nó gọi là Okiru. Các nhà nghiên cứu phát hiện ra nhiều khác biệt giữa hai biến thể của Mirai, ngoài việc nhắm mục tiêu đến kiến trúc ARC.
Được thiết kế bởi ARC International, bộ xử lý ARC là các CPU 32-bit được sử dụng rộng rãi trong các thiết bị system on chip (SOC) cho các ứng dụng lưu trữ, gia đình, di động, ô tô và IoT. Mỗi năm, hơn 1,5 tỷ thiết bị được tạo ra với bộ vi xử lý ARC bên trong.
Mirai Okiru là mã độc đầu tiên được biết đến nhắm tới bộ vi xử lý ARC, nhà nghiên cứu Odisseus cho biết.
Botnet đã được phát hiện bởi @unixfreaxjp từ malwaremustdie.org. Trong một bài đăng trên reddit, nhà nghiên cứu đã giải thích rằng mặc dù từ chối dịch vụ (DDoS) là mục đích chính của hai biến thể Mirai mới nhất nhưng chúng rất khác nhau.
Khác biệt lớn nhất là cấu hình, Okiru được mã hóa trong hai phần với mật khẩu telnet mã hóa. Satori không phân chia làm hai phần và không mã hóa mật khẩu mặc định. Hơn nữa, biến thể mới có thể sử dụng đến 114 thông tin nhạy cảm cho cuộc tấn công telnet, trong khi Satori sử dụng một cơ sở dữ liệu khác và ngắn hơn.
Nhà nghiên cứu cũng giải thích rằng Okiru dường như thiếu chức năng tấn công “TSource Engine Query" common Distributed "Reflective" (DRDoS) thông qua UDP ngẫu nhiên mà Satori có. Cả hai cũng có các lệnh theo dõi khác nhau trong cấu hình của chúng và cho thấy sự khác biệt trong việc sử dụng cơ quan giám sát.
Okiru được phát hiện có bốn loại mã khai thác tấn công router được mã hóa cứng trong đó, không có mã nào được tìm thấy trong Satori. Hơn nữa, có các trình download Trojan ELF nhỏ nhúng trong Satori, dùng để tải về các chương trình nhị phân khác (các trình này được mã hoá khác so với các chương trình Okiru).
Tuần trước, khi các nhà nghiên cứu thấy các cuộc tấn công của Okiru, mã độc này bị phát hiện rất ít trong VirusTotal. Do đó, và bởi vì đe dọa mới đang nhắm đến các thiết bị không bị mã độc lây nhiễm trước đây, các nhà nghiên cứu cho rằng sẽ có sự gia tăng mạnh mẽ trong việc lây nhiễm mã độc Mirai.
Được gọi là Okiru, biến thể mới của mã độc dường như khá khác với botnet Satori, mặc dù Satori cũng được tác giả của nó gọi là Okiru. Các nhà nghiên cứu phát hiện ra nhiều khác biệt giữa hai biến thể của Mirai, ngoài việc nhắm mục tiêu đến kiến trúc ARC.
Được thiết kế bởi ARC International, bộ xử lý ARC là các CPU 32-bit được sử dụng rộng rãi trong các thiết bị system on chip (SOC) cho các ứng dụng lưu trữ, gia đình, di động, ô tô và IoT. Mỗi năm, hơn 1,5 tỷ thiết bị được tạo ra với bộ vi xử lý ARC bên trong.
Mirai Okiru là mã độc đầu tiên được biết đến nhắm tới bộ vi xử lý ARC, nhà nghiên cứu Odisseus cho biết.
Botnet đã được phát hiện bởi @unixfreaxjp từ malwaremustdie.org. Trong một bài đăng trên reddit, nhà nghiên cứu đã giải thích rằng mặc dù từ chối dịch vụ (DDoS) là mục đích chính của hai biến thể Mirai mới nhất nhưng chúng rất khác nhau.
Khác biệt lớn nhất là cấu hình, Okiru được mã hóa trong hai phần với mật khẩu telnet mã hóa. Satori không phân chia làm hai phần và không mã hóa mật khẩu mặc định. Hơn nữa, biến thể mới có thể sử dụng đến 114 thông tin nhạy cảm cho cuộc tấn công telnet, trong khi Satori sử dụng một cơ sở dữ liệu khác và ngắn hơn.
Nhà nghiên cứu cũng giải thích rằng Okiru dường như thiếu chức năng tấn công “TSource Engine Query" common Distributed "Reflective" (DRDoS) thông qua UDP ngẫu nhiên mà Satori có. Cả hai cũng có các lệnh theo dõi khác nhau trong cấu hình của chúng và cho thấy sự khác biệt trong việc sử dụng cơ quan giám sát.
Okiru được phát hiện có bốn loại mã khai thác tấn công router được mã hóa cứng trong đó, không có mã nào được tìm thấy trong Satori. Hơn nữa, có các trình download Trojan ELF nhỏ nhúng trong Satori, dùng để tải về các chương trình nhị phân khác (các trình này được mã hoá khác so với các chương trình Okiru).
Tuần trước, khi các nhà nghiên cứu thấy các cuộc tấn công của Okiru, mã độc này bị phát hiện rất ít trong VirusTotal. Do đó, và bởi vì đe dọa mới đang nhắm đến các thiết bị không bị mã độc lây nhiễm trước đây, các nhà nghiên cứu cho rằng sẽ có sự gia tăng mạnh mẽ trong việc lây nhiễm mã độc Mirai.
Theo SecurityWeek
Chỉnh sửa lần cuối: