支援新處理器架構的Mirai變種出現

2021-12-30 06:09:35 字數 3300 閱讀 9547

概述

2023年2月底,unit 42研究人員發現了新出現的為新處理器架構編譯的mirai樣本。雖然mirai的原始碼在2023年就公開了,但是它的攻擊目標是特定的一批處理器架構集。

unit 42研究人員發現了專為altera nios ii, openrisc, tensilica xtensa和xilinx microblaze處理器的樣本。這是mirai第二次擴充套件新的處理器架構,上一次是2023年1月發現的攻擊arc cpu的樣本。這說明mirai的開發者還在不斷更新技術,並攻擊iot裝置。

本文主要介紹新發現的樣本相關的基礎設施,以及其他mirai樣本如何使用已知的漏洞利用等。

新樣本的新特徵

除了支援新的處理器架構外,研究人員還在新樣本中發現了以下特徵:

加密演算法。新樣本對原來mirai**中使用的標準位元組xor演算法進行了修改。使用11個8位元組的key,所有都使用位元組級的xor來獲取最終的key,**如下:

tablekeys = [0xdeadbeef, 0x85dab8bf, 0xdeedeebf, 0xdeabbeaf, 0xdbbd45bf, 0x246584ef, 0x85bfe8bf, 0xd68395bf, 0xdbaaaaaf, 0x0daabeef]

xor_key = 0

for key in tablekeys:

xor_key ^= key&0xff ^ (key>>8 & 0xff) ^ (key>>16 & 0xff) ^ (key>>24 & 0xff)

這相當於與0x5a進行位元組級的xor運算。

attack_method_ovh。樣本中含有以下引數的ddos攻擊選項:

atk_opt_ip_tos = 0

atk_opt_ip_ident = 0xffff

atk_opt_ip_ttl = 64

atk_opt_ip_df = 1

atk_opt_sport = 0xffff

atk_opt_dport = 0xffff

atk_opt_seqrnd = 0xffff

atk_opt_ackrnd = 0

atk_opt_urg = 0

atk_opt_ack = 0

atk_opt_psh = 0

atk_opt_rst = 0

atk_opt_syn = 1

atk_opt_fin = 0

atk_opt_source = local_addr

這與原來mirai源**中的攻擊方法「tcp syn」 (attack_method_tcpsyn)的引數是一樣的,所以為什麼要將相同的引數加入到乙個新的攻擊方法中呢?目前尚不清楚原因。據此,研究人員發現了從2023年11月開始就應用該方法的樣本。

基礎設施

研究人員在乙個ip位址上發現了多個最新的樣本,但2023年2月22日開始,該伺服器將這些檔案列表隱藏起來了,但是還為檔案提供web服務。

圖1. 儲存mirai變種**的目錄

在2月22日之前,該ip位址還提供含有以下漏洞利用的mirai樣本。這些漏洞利用都是在之前的mirai樣本中使用過的。研究人員根據這些漏洞利用推測這些變種應該是同一波攻擊者在使用,漏洞利用如下:

· thinkphp遠端**執行漏洞

利用格式:

· d-link dsl2750b os命令注入漏洞

利用格式:

· netgear遠端**執行漏洞

利用格式:

利用格式:

利用格式:

總結因為mirai源**是公開的,因此開源將源**進行適應其他處理器的編譯,以提供給攻擊者更大的攻擊面。這也說明該惡意軟體家族會通過更多的嵌入式裝置感染和傳播,提供給攻擊者更強大的ddos攻擊的能力。

研究人員建議企業和使用者對iot裝置及時更新補丁,並不要使用預設口令。

CPU處理器架構

系統有x64,x86與ia 64三種版本之分,分別用於不同的cpu。較老的cpu只能安裝x86版的系統,也就是我們常見的32位系統。因為微軟的緣故,32位系統在過去的很長一段時間內,佔據著桌面計算機的主流地位。64位系統能夠在較新的x86 64架構的cpu上執行。而ia 64則只能執行於intel的...

常見處理器架構

intel 常見伺服器cpu分類。現在的處理器技術發展真是日新月異,上一代產品還沒被大家分清,馬上就要被下一代產品替代了。在這裡根據個人的一些了解,幫大家做個劃分。一,xeon 至強 目前全部intel ia架構的雙路,四路伺服器,全部在採用xeon 至強 cpu,它是基於x86架構的一種伺服器專用...

處理器架構簡介

一 主要有如下架構 1 ia 32架構 英特爾32位元架構 英語 intel architecture,32 bit,縮寫為ia 32 常被稱為i386 x86 32或是x86,由英特爾公司推出的指令集架構,至今英特爾最受歡迎的處理器仍然採用此架構。它是x86架構的32位元延伸版本,首次應用在int...