新的Mirai僵尸网络潜伏在Tor网络中以保持在雷达之下

已经发现了Mirai僵尸网络的一个新变种，该变种利用Tor网络来防止命令服务器被删除或劫持。Mirai是一种物联网(IoT)僵尸网络，过去曾用于针对着名网站的分布式拒绝服务(DDoS)攻击。僵尸网络倾向于通过暴力攻击和默认凭证的自动破解来专注于奴役物联网设备，包括路由器，监控摄像头，智能家用电器和车辆。僵尸网络用于攻击属于着名安全专家Brian Krebs的网站后不久，Mirai源代码被发布到野外，允许其他人开发并发布他们自己的变种。Mirai的进化版本包括Okiru，Satori，Masuta和PureMasuta。3月份，发现了一款​​针对智能标牌电视和无线演示系统的Mirai变体。

另请参阅：

遇见Torii，一种比Mirai变种更复杂的新物联网僵尸网络

周三，趋势科技的研究人员表示，僵尸网络的新菌株与其他样本具有相同的功能。其中包括通过易受攻击的开放端口和默认凭据进行远程访问和控制，以及执行DDoS攻击和用户数据报协议(UDP)泛洪的能力。

最新的Mirai示例主要关注TCP端口9527和34567，这可能表明优先考虑奴役IP摄像机和DVR。

但是，考虑到恶意软件的命令和控制(C2)服务器的位置，这种变体很有趣。当“清除”网络中存在C2服务器时，可以快速向中性发送删除请求或至少减轻恶意软件感染的损害 - 但是，当它们通过.onion地址和Tor网络隐藏时，可能是一项更具挑战性的任务。

CNET：

华为禁令：关于其手机如何以及为何受到攻击的完整时间表

“这可能是物联网恶意软件开发人员的一个发展趋势，因为表面网络中的恶意行为者的C&C服务器可以被报告并被删除 - 这是网络安全研究人员，企业和用户都可能不得不开始防范的一种趋势，“研究人员说。

总的来说，Mirai菌株通常会有一到四个C2。在这种情况下，存在30个硬编码的IP地址，socks5代理用于与Tor网络中的服务器通信。如果一个连接失败，恶意软件将尝试其列表中的另一个服务器。

TechRepublic：

您的企业需要了解的5个实验性网络安全趋势

这远不是恶意软件第一次尝试匿名化并且使用Tor变得更难以打击，但趋势科技表示这可能是“其他不断发展的物联网恶意软件系列的可能先例”。

“由于Tor的可用环境，服务器仍然是匿名的，因此使恶意软件创建者和/或C&C所有者无法识别，”研究人员补充说。“同样，服务器仍然在运行，尽管发现，网络流量可以伪装成合法的并且仍然是加密的，并且由于Tor的其他可能的合法用途，它可能不一定被列入黑名单。”