Poprzedni Następny

OMG – Mirai z funkcją proxy

Specjaliści z FortiGuard Labs (Fortinet) zamieścili na blogu analizę nowego wariantu słynnego Mirai (użytego m.in. do ataków DDoS), który otrzymał nazwę OMG. Ich duże podobieństwo zostało ustalone poprzez porównanie obecnych w tej wersji kodu ciągów “/bin/busybox OOMGA” i”OOMGA: applet not found.” do oryginalnego “bin/busybox MIRAI” i “MIRAI: applet not found”. To nie pierwsza mutacja tego rozwiązania. Wcześniej znaczące podobieństwo odkryto także w wersjach o nazwach Okiru/Satori czy Masuta.

OMG czyli rozbudowana wersja Mirai

Badany kod został wzbogacony o funkcję serwera proxy, przy zachowaniu poprzedniej funkcjonalności (moduły attack, killer i scanner). Po uruchomieniu modułów następuje komunikacja urządzenia z serwerem C&C, skąd otrzymywane są instrukcje jak urządzenie ma być użyte (0 – serwer proxy, 1 – atak, >1 – zakończenie połączenia). W przypadku roli serwera proxy generowane są dwa randomowe porty (http_proxy_port oraz socks_proxy_port), których numery są przekazywane do C&C. Następnie dopisywane są reguły firewalla, mające na celu otwarcie ruchu na wskazanych portach. OMG jako serwer proxy wykorzystuje opensource’owe rozwiązanie 3proxy.​

Źródło: Fortinet

Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.

Podobne