E安全讯，安全研究人员MalwareMustDie发现新型的意大利恶意软件—Linux/IRCTelnet。该恶意软件的目标是通过IRC和Telnet连接的物联网僵尸网络。Linux/IRCTelnet能产生IPv6 DDoS，并执行Mirai不包含的新能力。

媒体对MalwareMustDie的研究人员unixfreakjp进行了简短采访。 unixfreakjp解释道，这是主要特征，以便能够通过适当的安全意识对抗这款新恶意软件。

Mirai僵尸网络扩充“肉鸡”后，显然，在不久的将来，受利益驱使，越来越多的物联网设备将被用来实施DDoS攻击。物联网设备通常缺乏足够的质量控制，并且存在漏洞，从而很容易被利用。

然而，近期，物联网常遭遇蛮力攻击，还因为物联网设备部署在其它地方，而未更改默认凭证。

这就是Mirai的计划，之前也提到过。

MalwareMustDie的知名白帽子研究人员unixfreaxjp发现并对Mirai做了反向工程。

他发文指出，事实上，新IRC僵尸网络ELF恶意软件具有IRC基础代码（Tsunami/Kaite）协议的规范，但记录方式不同，在消息传送和恶意/攻击媒介中添加了更多新功能。

新IRC僵尸网络ELF恶意软件新旧功能皆兼备

Linux/IRCTelnet恶意软件（肉鸡客户端）的重点具有以下特征和概念架构：

1) 旨在利用telnet协议攻击物联网，到目前为止，物联网是新的“黄金国”。

2) 使用GayFgt/Torlus/Lizkebab/Bashdoor/Bashlite过去使用的telnet扫描器，重构C代码截图如下：

图1：telnet扫描器

3) 使用Mirai泄露的凭证列表和二进制代码硬编写的蛮力密码字典，如下：

图2：蛮力密码字典

4) 通过发送恶意C&C IRC服务器的命令使用Kaiten概念组合（IRC协议使用的）。下方是unixfreakjp通过破译值和恶意软件行为得到PoC日志：

图3：IRC C&C服务器日志

5) 该恶意软件源自意大利：在二进制代码内发现一些意大利字符串，如下图所示。攻击感染该僵尸网络发生在2016年10月25日。

图4：Linux/IRCTelnet二进制中包含意大利语的信息

经过快速分析后发现，该恶意软件存在全新的强大功能。

首次用IPv6攻击物联网（和肉鸡的IP欺骗）

在反向阶段，研究人员在新恶意软件中发现“TCP6”和“UDP6”数据包生成器，其可能与“spoof6”编码选项有关。

似乎，IPv6是首次被用来攻击物联网，并可能生成欺骗性DDoS攻击，从而不可能识别被感染肉鸡的IP地址。

与重构代码有关的洪水看起来非常糟糕，似乎正在酝酿大量DoS攻击。

图5：Linux/IRCTelnet 恶意软件的DDoS攻击序列

Unixfreaxjp这样评论：“新IPv6的新能力是IPv4和IPv6数据包DDoS攻击支持该僵尸网络，其通过攻击生成器发送函数sendV4()和sendV6()”。攻击期间，还具备另一种能力：还以IPv4和IPv6的形式欺骗IP地址，这个功能真正令人毛骨悚然。”

以下是IPV6上的洪水生成函数：

图6：反向IPv6上的洪水生成函数

可以说，新功能的重点是基于IPv6的洪水功能，以及MMD研究人员Unixfreaxjp和安全研究界目前是否准备好处理物联网IPv6 DDoS攻击。

图7：Reddit上关于IPv6的讨论

这是未来面临的重大挑战：媒体对unixfreakjp的采访如下：

第一个问题：

1. 你认为Linux/IRCTelenet比Mirai更危险吗？

2. Mirai以自己的方式带来威胁性。凭借新型DDoS攻击功能，人们意识低下，难以获取样本，以及并且未使用Mirai作为新名字而是使用了旧恶意软件名称等情况…新恶意软件降低了安全警报响应。因此，当遭受重创时，人们会无比惊讶。

Linux/IRCTelnet如果像Mirai发生的情况一样被无视，Linux/IRCTelnet也会是危险的威胁。这是在IRC CNC中运行的首款恶意软件，其使用Telnet扫描器感染其它物联网。由于媒介中存在易受攻击的媒介，因为该恶意软件的目标是物联网。

因此，我不会说Linux/IRCTelnet比Mirai更危险。这两个恶意软件具有各自的危险媒介，这取决于如何响应处理威胁。

第二个问题：

1. IPv4或IPv6中的IP欺骗选项的能力是什么？

2. 比如当受感染的物联网通过UDP6或TCP6实施攻击，Linux/IRCTelnet选择欺骗攻击者的源IP（自身IP），而不暴露用来淹没目标的生成包的源IP。

IPv6支持这种欺骗和攻击。这很重要，因为没有DDoS僵尸网络编码并专门设计用来攻击IPv6中的服务。

第三个问题：

1. 你如何知道新僵尸网络中可利用的“肉鸡”大致为3500个？

2. 给你看张图：

第四个问题：

对比完成的反向代码和历史检测的ELF恶意软件僵尸网络，并经过进一步分析，我们发现匹配度较高，这一点证实该僵尸网络的源代码基于Aidra僵尸网络。直到我反向了整个源代码并将整个完成的反向代码与历史检测的ELF恶意软件僵尸网络库对比后，我才确信这一点。并且，我发现原Aidra代码多处修改和详细检查都不谋而合。基于Aidra bot的旧代码，并添加Torlus/Gayfgt telnet扫描器的新逻辑，以及使用Mirai泄露的易受攻击物联网设备的登录凭证，Linux/IRCTelnet的感染速度极快，因此，能在其装载器首次检测的5天内构建约3500个bot客户端。的确，欺骗和IPv6是Aidra僵尸网络家族设计的商标，并且，为了根据近期易受攻击的威胁环境开发该僵尸网络的新版本确实糟糕至极…我之前反向过该恶意软件，我了解事实。见到新型Aidra僵尸网络，我瞠目结舌。该僵尸网络经过重新设计，并在旧Aidra的基础上做了修改，从而衍生新威胁，这是我们目前要将面对的情形。

从IRC服务器的日志，可以看到3486个“用户”被连接。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。