Появился новый троянец по имени Мирай, и это предназначается для серверов Linux и устройств IoT, главным образом, DVRs, управляя основанным на Linux встроенным микропрограммным обеспечением, в целях порабощения этих систем, поскольку часть большого ботнета раньше начинала DDoS-атаки.

По словам исследователя безопасности MalwareMustDie! (MMD), Mirai - эволюция троянца старшего возраста, также используемого для DDoS-атак, известных под многими именами, такими как Gafgyt, Lizkebab, BASHLITE, Bash0day, Bashdoor и Torlus.

Предшественник Мирая не шутка. Согласно отчету об Уровне 3 с прошлой недели, Gafgyt заразил более чем один миллион устройств IoT в течение прошлых месяцев, и есть один крюк, управляющий Gafgyt-приведенным-в-действие ботнетом более чем 120 000 личинок.

Mirai нацелен на Linux встроенное микропрограммное обеспечение Busybox

Режим работы Мирая - в основном то же как Gafgyt, предназначаясь для управления устройств IoT Busybox, вниз сокращенная версия избранных инструментов ГНУ и библиотек, обычно развертываемых на маленьких встроенных аппаратных средствах.

Троянец также нацелен на только определенный набор платформ, таких как РУКА, ARM7, MIPS, PPC, SH4, SPARC и x86, на котором обычно строятся устройства IoT.

Mirai заражает устройства через нападения «в лоб» на порт TELNET, используя список верительных грамот администратора по умолчанию, пытаясь эксплуатировать случаи, где владельцы устройств забыли изменять встроенный пароль.

Как только это заражает устройство, это сообщает серверу C&C и ждет команд. Mirai идет с поддержкой запуска DDoS-атак, но это также нападения «в лоб», которые это использует, чтобы распространиться себя к другим устройствам IoT.

Mirai, главным образом, нацелен на DVRs и IP камеры

На основе последовательности «/dvrHelper», найденной в исходном коде Мирая, MMD подозревает, что троянец был конкретно построен, чтобы предназначаться для DVRs и IP камер.

Исследователь также говорит, что Mirai или закодирован той же командой Gafgyt, или ее создатели приклеили копией большая часть ее кодовой базы в Mirai.

«ЭЛЬФ, Linux/Mirai - следующее поколение того, что они назвали им как 'GayFgt/LizKebab/Torlus' или что мы называем им как 'Bash0day, Bashdoor или Bashlite' в прошлом» MMD, пишет. «Который разработан [так], чтобы быть более сложным в стремлении Linux, окружает Интернет для цели ботнета (очевидно, для орудий DDoS-атаки)».

Для администраторов сервера и системных администраторов, некоторое смягчение доступно, чтобы отфильтровать Mirai трафик «в лоб» и постараться не получать Ваши серверы и поставившие под угрозу устройства IoT.

За прошлые несколько месяцев другие исследователи определили ботнеты DDoS, составленные из DVRs и систем видеонаблюдения, некоторые из них целых 25 000 личинок. Другие троянцы Linux, которые были нацелены на устройства IoT и серверы Linux, чтобы поработить в ботнетах DDoS, включают PNScan и Remaiten.