E安全12月15日讯 新近被发现的Mirai僵尸网络变种包含有域名生成算法（简称DGA），安全研究人员警告称这一特性与此前任何已发现的Mirai样本皆存在显著区别。

横行物联网的“Mirai”恶意软件出现于几个月前，但其凭借着今年9月末指向安全博主Brian Krebs多个网站以及托管服务商OVH的数波规模巨大的分布式拒绝服务（简称DDoS）攻击而广为人知。然而更令人震惊的是，就在今年10月初源代码被正式公布后，Mirai又掀起了新一波威胁浪潮。

截至10月末，研究人员发现Mirai已经感染了全球164个国家的设备。同样是在今年10月，Mirai据称被用于组织针对DNS服务商Dyn公司的大规模DDoS攻击，并直接导致美国众多高人气网站无法为用户正常访问。

不出所料，Mirai源代码的公开直接导致众多新型恶意软件变种被创造出来，其中包括一款利用TR-064协议向受感染设备发送指令的Mirai类蠕虫病毒。根据360网络安全研究实验室研究人员的说法，着眼于其从6台托管服务器处利用蜜罐捕捉到的数据，目前至少存在53种独特的Mirai样本。

更重要的是，研究人员发现新的Mirai样本通过TCP端口7547与5555进行传播。另外，研究人员还发现该恶意软件的作者所使用的dlinchkravitz[at]gmail[dot]com邮箱还注册了多个新的域名。

根据安全研究人员的说法，各经过分析的恶意软件样本采用3类顶级域名（简称TLD），分别为.online、.tech以及.support，且各自配合由12个字符组成的二级域名，其中各字符从a到z这26个字母中随机选择。安全研究人员们还提醒称，其生成的域名是由月、日外加硬编码子字符串所构成。

然而，现在来看这些新的Mirai变种只会在硬编码命令与控制（简称C&C）域名无法解析时才会使用这些DGA域名。另外，该恶意软件每天只会生成一个域名，这意味着其每年的最大域名生成量为365个。研究人员已经能够成功预测这些域名。

根据分析样本可以看到，恶意软件当中包含3台硬编码C&C控制器，且其会生成一条随机数字以从前两台控制器中选择一台。然而，如果选定的域名无法解析，该恶意软件会根据当前日期重试并利用DGA或者尝试解决第三条C&C域名。

在11月1日到12月3日之间，该恶意软件会选择解析第三个C&C域名，但在其它时段其会执行DGA分支。基本上，作者并不希望在12月4日之前使用各DGA域名，这与各域名的注册日期完全吻合。

“该域名基于子编号及当前日期生成。其子编号会通过调用strtol()由一条硬编码HEX格式客串转换得出。其中配置的一条\x90\x91\x80\x90\x90\x91\x80\x90字符串似乎存在错误，因为其会始终令strtol()返回0值。其本地日期通过调用time()及localtime()两项C库函数获得。这里只使用月与日两个数值，”安全研究人员解释称。

在发现使用该DGA功能的恶意软件样本之后，安全研究人员们注意到，其全部共享具有同样子字符串与算法形式的DGA。

相关阅读：

Linux/Mirai ELF :专门攻击物联网设备的恶意软件
物联网恶意软件“Mirai”几乎感染了全球物联网设备
关于Dyn/Twitter受攻击情况的说明和Mirai僵尸网络的回顾
“菜鸟”黑客给物联网蠕虫Mirai新添 “弱智”功能
Mirai源代码存在内存缓冲区溢出漏洞

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。