Fortinet的安全專家發(fā)現(xiàn)了一種新的變體Mirai僵尸網(wǎng)絡(luò)，稱為“Wicked Mirai”，它包括新的漏洞同時傳播一個新的僵尸程序。

Wicked Mirai這個名字來自代碼中的字符串，專家發(fā)現(xiàn)，與原始版本相比，這個新變種至少包含三個新的漏洞。由于兩年前公布了源代碼，F(xiàn)ortiGuard實(shí)驗(yàn)室的團(tuán)隊(duì)看到了越來越多的Mirai變體。
“一些做了重大的修改，例如增加了將受感染的設(shè)備變成惡意軟件代理 和 密碼器群的 功能。其他人則將Mirai代碼與多種針對已知和未知漏洞的漏洞整合在一起 ，類似于最近由FortiGuard實(shí)驗(yàn)室發(fā)現(xiàn)的新變種，我們現(xiàn)在稱其為WICKED。”

Mirai 僵尸網(wǎng)絡(luò)第一次發(fā)現(xiàn)2016年，MalwareMustdie的專家們用它在野外發(fā)動了大規(guī)模的DDoS攻擊。Mirai的源代碼是2016年10月在網(wǎng)上泄露，很快便出現(xiàn)了許多其他變體，包括 Satori,  Masuta，和Okiru。
據(jù)Fortinet說，“Wicked Mirai”的作者和其他變體很可能是同一個人。Mirai僵尸網(wǎng)絡(luò)通常由三個主要模塊組成：攻擊、殺手和掃描儀。Fortinet將其分析集中在負(fù)責(zé)傳播惡意軟件的Scaner模塊上。
最初的Mirai試圖強(qiáng)行破壞其他IOT設(shè)備，而Wicked Mirai使用已知的漏洞。Wicked Mirai將通過啟動物聯(lián)網(wǎng)設(shè)備的原始套接字SYN連接掃描端口8080、8443、80和81。一旦建立了連接，僵尸程序?qū)�嘗試?yán)�用該設(shè)備并通過將攻擊字符串寫入套接字來下載攻擊載荷。
專家們發(fā)現(xiàn)，要使用的漏洞取決于僵尸程序能夠連接到的特定端口。在Wicked Mirai的目標(biāo)設(shè)備列表下面：
8080端口：NETGEAR DGN1000和DGN2200 v1路由器(也被死神僵尸網(wǎng)絡(luò)使用))
81 端口：CCTV-DVR遠(yuǎn)程代碼執(zhí)行
8443端口：NETGEAR R7000和R6400命令注入(CVE-2016-6277)
80端口：受威脅的Web服務(wù)器中的調(diào)用程序外殼
對代碼的分析揭示了String SoraLOADER的存在，這表明它可能試圖分發(fā)Sora僵尸網(wǎng)絡(luò)。進(jìn)一步的調(diào)查讓研究人員反駁了這一假設(shè)，并證實(shí)機(jī)器人實(shí)際上會連接到惡意域名下載OwariMirai機(jī)器人。
成功利用該漏洞后，此僵尸程序?qū)�從惡意站點(diǎn)下載其有效負(fù)載。這種情況下， hxxp://185[.]246[.]152[.]173/exploit/owari.{extension}。這使得它很明顯地想要下載另一個Mirai變體Owari bot，而不是先前暗示的那個。
然而，在分析時，在網(wǎng)站目錄中找不到Owari bot樣本。在另一輪事件中，它們被下面所示的示例所取代，這些樣本后來被發(fā)現(xiàn)是Omni bot。
對該網(wǎng)站 /bins 目錄的分析顯示了其他Omni樣本，這些樣本顯然是使用GPON提供的漏洞CVE-2018-10561。

Fortinet的安全研究人員在尋找Wicked，Sora，Owari和Omni之間的聯(lián)系時，發(fā)現(xiàn)了一個對Owari/Sora IoT的僵尸網(wǎng)絡(luò)作者的采訪。
采訪中透露，作者拋棄了Sora 和Owari的僵尸程序，他目前正在從事Omni項(xiàng)目。
“根據(jù)作者在上述訪談中就同一主機(jī)上的不同僵尸網(wǎng)絡(luò)所作的陳述，我們可以從根本上確認(rèn)僵尸網(wǎng)絡(luò)Wicked、Sora、Owari和Omni 的作者是同一個人。這也使我們得出結(jié)論，雖然Wicked bot 最初是為了交付Sora僵尸網(wǎng)絡(luò)，但后來它被重新用于為作者的后續(xù)項(xiàng)目服務(wù)，”Fortinet總結(jié)道。