此次发现的是另一种典型的Mirai变种，具有后门和分布式拒绝服务（DDoS）功能。然而，这却是第一个发现如此多漏洞同时利用的案例。

据悉，新Mirai攻击活动发生在趋势科技上次报道 Mirai活动后的几周，当时它针对的是各种路由器。而目前这一变体也使用了先前攻击中利用的一些漏洞。

 

新Mirai变种

研究人员对新变种的初步发现得益于其设置的一个蜜罐，致力于检测与物联网（IoT）相关的攻击。检测结果显示这种恶意软件使用了不同的传播方式，并且还揭示了它使用三个XOR密钥来加密数据。使用XOR解密恶意软件的字符串揭示了此恶意软件的第一个相关指标之一为Mirai变体。解密的字符串可以在下图中看到：

• 0x22（标准Mirai字符串）
• 0x37（带“watchdog”的字符串）
• 0xea（暴力攻击的凭证：“telecomadmin”，“admintelecom”等）

 

显示Mirai连接的解密字符串

研究人员还发现了此变体使用的不同URL。下面列表中的第一个URL用作命令和控制（C&C）链接，其余用作下载和安装链接。在下载和安装链接中，值得注意的是使用了hopTo，这是一个免费的动态DNS（域名服务器）提供程序。

• hxxp://32[.]235[.]102[.]123:1337
• hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7
• hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips
• hxxp://ililililililililil[.]hopto[.]org/love.sh

 

通过查看新变种的代码，揭示了有关它如何传播的更多细节，特别是它利用了13种不同的漏洞。前三个漏洞是针对Web开发格式ThinkPHP以及某些华为和Linksys路由器中发现的易损扫描程序。

Mirai变种代码中显示的3个扫描仪功能

 

可以在exploit_worker（）中找到此攻击中使用的其余10个漏洞的扫描程序，如下图所示：

Mirai变种代码显示的剩余10个漏洞

 

研究人员发现除了通过这些漏洞传播传播之外，这个Mirai变体还具有以下几种针对常见凭证的暴力破解功能，如下图所示：

 

结论

这个新Mirai变种背后的攻击者可能只是简单地从其他攻击中复制了代码，并且加以利用。更加危险的是，许多用户尚未针对此前被利用的漏洞更新修复补丁。