2019年1月初，Unit 42发现了臭名远扬的IoT / Linux僵尸 *** Mirai的一个新版别。
Mirai最知名的是在2019年，用于大规模、史无前例的DDoS进犯。一些最著名的方针包括： *** 保管服务供给商OVH，DNS供给商Dyn和Brian Krebs的网站。
Unit 42发现的这一新变种值得注意的是它针对不同的嵌入式设备，如路由器、 *** 存储设备、NVR和IP摄像机，并运用很多缝隙进犯它们。
特别是，Unit 42发现了该变种针对WePresent WiPG-1000无线演示体系和LG Supersign电视。这两种设备都适用于企业。这一开展向咱们表明晰将Mirai用于企业方针的潜在改变。之前咱们调查僵尸 *** 定位企业缝隙的实例是针对Apache Struts和SonicWall的缝隙运用。
除了这个更新的定位，这个新版别的Mirai还包括其多缝隙库中的新缝隙，以及用于对设备进行暴力破解进犯的新凭证。
终究，歹意有效载荷保管在哥伦比亚的一个受感染网站：主营“电子安全，集成和警报监控”事务。
这些新功用为僵尸 *** 供给了大型进犯面。特别是，定位企业链接还答应它拜访更大的带宽，终究导致僵尸 *** 为DDoS进犯供给更大火力。
这些开展变化强调了企业了解 *** 上的物联网设备、更改默许暗码、保证设备及时打补丁的重要性。关于无法修补的设备，要从 *** 中删去这些设备。
缝隙运用
这个最新的样本共包括27个缝隙，其中有11个是新缝隙。
咱们调查到的缝隙的完好列表列在附录中。表1列出了在该样本之前未在户外调查到的进犯，表2列出了该变体中包括的仅在最近户外调查到的其他进犯，但在此之前的变体中被并入。
其它特征
除了包括不寻常的缝隙之外，这个新版别还具有其他一些不同的功用：
· 它运用与Mirai特征相同的加密计划，密钥为0xbeafdead。
· 运用此密钥解密字符串，发现了一些咱们迄今未遇到的暴力破解的反常默许凭证：
· admin:huigu309
· root:huigu309
· CRAFTSPERSON:ALC#FGU
· root:videoflow
· 它运用域名epicrustserver [.] cf监听端口3933用于C2通讯。
· 除了扫描其他易受进犯的设备外，还能够指令新版别发送HTTP Flood DDos进犯。
基础设施
具有挖苦意味的是，此变体中缝隙运用获取的shell脚本有效载荷（在编撰本文时仍处于活动状况）保管在受感染的网站上，该网站归于哥伦比亚的一个“电子安全，集成和警报监控”公司。

图1缝隙获取的Shell脚本有效载荷
此外，shell脚本下载的二进制文件以“clean.[arch]”格局命名（例如clean.x86，clean.mips等），但它们不再保管在网站上。
对有效载荷源进行追寻，发现一些样本从185[.]248.140.102/bins/获取相同的有效载荷。在升级到这个新的多缝隙运用版别的前几天，相同的IP运用称号格局“eeppinen.[arch]”保管了一些Gafgyt样本。
总结
物联网/ Linux僵尸 *** 持续扩展其进犯面，要么经过针对过多设备的多个缝隙运用进犯，要么经过增加默许凭证列表，或许两者兼而有之。此外，针对企业缝隙他们能够拜访带宽比顾客设备更大的链接，从而为DDoS进犯供给更大的火力。