背景介绍

正如我们所知，世间唯一不变的，就是变化本身。同样地，恶意软件也正在快速发展变化，新功能和特征不断涌现，并且越来越难以发现和消除它们。其中，Mirai僵尸网络就是快速发展，且不断改进的恶意软件的一个突出示例。

2016年10月21日，Mirai僵尸网络发起针对美国互联网域名解析服务商DYN的DDoS攻击，而DYN给许多美国著名网站提供域名解析服务，DYN服务器被攻击导致Twitter、亚马逊、华尔街日报等数百个重要网站无法访问，美国主要公共服务、社交平台、民众网络服务纷纷瘫痪。

据了解，在这场被称为“美国东海岸断网”的事件中，仅DYN一家公司的直接损失就超过了1.1亿美元，而事件的整体损失不可估量。比如，Mirai就险些搞砸美国大选，当时距离大选不足半月，美国大选顾问成员Barbara Simons表示，这样的攻击足以影响美国的海外居民和驻军人员参与大选的电子投票过程，如果任由Mirai继续蔓延，极有可能毁掉整场大选。

事实上，自2016年僵尸网络Mirai的源代码被公布以来，安全研究人员就已经发现了许多基于Mirai的新变种。这些新变种除了具备Mirai最初的Telnet暴力破解登录功能以外，还被增添了许多新的功能（如漏洞利用），以针对更多的系统架构。

Mirai僵尸网络7大变种

以下就是迄今为止Mirai僵尸网络的7大变种，研究人员可以通过分析和学习Mirai僵尸网络的发展演变形式，来预测和预防其他恶意软件家族可能出现的演变路径。

1.Satori

2017年12月，一个名为“Satori”的新型僵尸网络开始迅速组建，在不到12个小时里已经在超过28万个唯一IP上被激活。分析发现，Satori僵尸网络利用了华为家庭网关路由器中的一个远程代码执行漏洞，还有一个Realtek设备的老漏洞。

虽然身为Mirai僵尸网络变体，但是Satori却与之前的Mirai之间存在两个显著的区别：

· 传播方式不同——之前的Mirai在感染物联网设备后，会下载一个Telnet扫描器组件，试图通过扫描来找出易受攻击的设备，并使用Mirai木马程序进行感染；Satori则并不使用扫描器组件，而是利用两个嵌入式漏洞，企图感染连接到端口37215和52869上的远程设备。这使得Satori成为物联网蠕虫，无需其他组件即可自行传播。

· 目标设备不同——之前的Mirai主要通过扫描2323和23端口来寻找易受攻击的设备；Satori的目标是连接到37215和52869端口上且存在两个已知漏洞中任意一个，但并未进行修复的设备。

2.Okiru

2018年1月，网络安全研究工作组Malware Must Die的研究人员unixfreaxjp发现首款专门感染ARC CPU的Linux恶意软件，这款新型Linux ELF恶意软件被命名为“Mirai Okiru”。

事实上，ARC这一目标选择非常重要，因为据估计，每年有超过15亿台设备使用ARC处理器。这就意味着潜在暴露的设备数量十分庞大，由这些暴露的设备组成的僵尸网络可能被用来实现多种恶意意图。

一些研究人员认为，2018年1月首次确认的Okiru是Satori的一个版本，但事实上Mirai Satori与Okiru这两个变种可谓大相径庭，其不同之处体现在如下方面：

· 配置不同：Okiru的配置分两部分加密，Telnet暴力破解字典是加密的，而Satori未分成两部分加密，也未对字典加密。Okiru的Telnet攻击登录信息较多（最多114个凭证），而Satori则拥有不同的数据库，登录信息稍短；

· Satori似乎具有DRDOS UDP DDOS攻击功能，Okiru不具有该功能；

· Okiru和Satori配置中的感染跟踪命令存在区别，这表明这两个变种可能未共享同一个控制环境；

· Okiru中被硬编了4种类型的路由器攻击利用代码，然而Satori并未使用这些利用代码；

· Satori使用嵌入式ELF木马下载小程序，以此下载其它架构二进制文件，其编码与Okiru不同；

3.Masuta

虽然恶意软件可以在许多方面利用漏洞，但是协议利用对于威胁行为者来说更为理想，因为它们通常具有更广的范围。一个协议可以由不同的供应商/模型来实现，并且协议本身中的一个错误可以被运用到更广泛的设备上。Masuta及其子变体PureMasuta就是利用SOAP协议漏洞来诱使目标设备运行威胁行为者发布的命令的。

“Masuta”是2018年1月份被研究人员发现的一款新型Mirai恶意软件变体，其开发人员Mirai Okiru还曾创建过肆虐全球的Satori僵尸网络。不过，Masuta的代码更加彰显了“专业开发”的属性，无论是其附加功能，还是程序员处理代码痕迹的方式都是前几个版本的变种所不具备的。Masuta的发展不仅展现了漏洞利用家族的演变，还展现了个人程序员的演变。

4.PureMasuta

Masuta出现后，一名被称为Nexus Zeta（专门从事SOAP漏洞攻击）的黑客进而开发了Masuta僵尸网络的一个新变种——PureMasuta。据悉，Masuta和PureMasuta共享同一个C2服务器（93.174.93.63），PureMasuta可能是Masuta的一个进化版本。该版本的变种威胁更大，目标依然是用户的路由器，并能够让僵尸网络扩展到易受攻击的物联网设备身上。

研究人员指出，PureMasuta僵尸网络中引入的武器化bug在HNAP（家庭网络管理协议）中，该协议本身基于SOAP协议。使用hxxp：//purenetworks.com/HNAP1/GetDeviceSettings来制作一个可以绕过验证的SOAP查询。另外，由于不正确的字符串处理，可以运行系统命令（导致任意代码执行）。当两个问题结合在一起时，就可以形成一个首先绕过验证的SOAP请求，然后导致任意代码执行。

5.OMG

2018年2月，FortiGuard实验室再次发现了一个新的Mirai变种，他们将其命名为“OMG”。无论与原始的Mirai程序还是之后的变种相比都不同，OMG的目的在于将物联网设备转变为代理服务器，以此来获取金钱。

与原始的Mirai程序相同，OMG的配置表在最开始同样处于加密状态，需要使用密钥才能解开。另外，OMG保留了原始程序的多个模块，以此来保留Mirai的最初功能（如杀死进程、Telnet暴力破解登录以及发动 DDoS攻击）。

不同的是，OMG在原始程序的基础上添加了防火墙规则，这源于OMG将使用3proxy（一款开源软件）来实现代理服务器功能。为了使代理服务器能够正常工作，OMG必须设置防火墙，以允许通信流量穿透两个随机端口。

在初始化模块之后，OMG会试图连接到命令和控制（C&C）服务器。但在FortiGuard实验室的分析过程中，该C&C服务器并未做出响应。因此，研究人员认为，OMG开发者的目的仅在于出售代理服务器的访问权限，并以此直接获利。

6.IoTroop

IOTroop是针对物联网（IoT）设备的新型僵尸网络，它通过使用许多与Mirai相同的恶意程序来感染全球的IoT设备，进而允许黑客远程控制大规模的IoT设备，并执行分布式拒绝服务攻击（DDoS），其攻击目标从医院、运输系统到政治组织不等。

据悉，Check Point最初是在2017年9月中旬检测到了IOTroop的存在，发现它的扩散速度非常地快。作为Mirai僵尸网络的变种，IOTroop显然要更先进，功能也更复杂，它利用的不仅是IoT设备的预设凭证，还利用了更广泛的漏洞，以从美国到澳大利亚更大范围的产品为目标。例如：针对GoAhead无线IP摄像机，攻击者利用了去年3月确定的已知的旁路身份验证漏洞（CVE-2017-8225），影响了1250多个相机型号。

与Mirai僵尸网络相比，IOTroop另外一个巨大的变化在于：不会在设备上放置Mirai风格的DDoS引擎，相反地，它会放置一个不断与C2服务器通信的加载器。然后，该服务器就可以将任意一种有效载荷传递给受害者设备，从而将网络变成一些人愿意付费的非法形式。

7.Wicked Mirai

2018年5月，Fortinet的安全专家发现了一种新的Mirai僵尸网络变体，称为“Wicked Mirai”，它为Mirai恶意软件家族增添了一个新的危险功能：持久性。

Wicked Mirai吸收了其他变体中的一些先进功能，例如漏洞扫描、从C＆C服务器按需下载有效负载，以及在许多常见的家庭路由器固件中添加代码，从而使恶意软件得以持久存在——也就是说，能够在设备重启后继续保留在设备上。

未来，Mirai僵尸网络可能会继续发展演变，同时也会向恶意软件市场展示快读代码演变和敏捷思维的可能性。网络安全世界面临的挑战是防御者能否应对攻击者的快速改变。