新僵尸网络隐藏在区块网络中 还帮助用户清除挖矿软件
奇虎安全实验室日前发现某个MIRAI变种组建的僵尸网络,该网络的无害行为和通信方式引起研究人员注意。
这个MIRAI变种在开放网络上寻找名为UFO的僵尸网络挖矿软件,找到后试图感染设备然后将挖矿软件清除。
名为UFO的挖矿软件主要感染安卓设备,包括安卓智能手机、安卓机顶盒、安卓智能电视以及安卓相框等等。
由于感染UFO挖矿软件的设备都会开放安卓ADB 5555端口,所以新的MIRAI变种会通过5555端口再次感染。
感染后立即清除挖矿软件:
新MIRAI变种在成功感染设备后会立即清除UFO挖矿软件,这种行为在此前的攻击案例中已经出现过不少次。
每个黑客都希望被感染的设备只由自己控制,但奇怪的MIRAI变种有攻击模块但清除挖矿软件后没有新动作。
当然千万不要认为这个MIARI变种是善意的,因为如果黑客有需要的话可以通过远程下发命令再执行新动作。
例如加载其他挖矿软件进行挖矿或者通过内部局域网感染其他设备,甚至是监听用户网络流量嗅探密码等等。
使用区块链雾进行通信难以追踪:
绝大多数恶意软件要么使用固定IP地址要么使用恶意域名进行通信,但这个MIARI变种躲在区块链雾的背后。
该变种的开发者使用分散域名系统进行域名访问,该系统是通过点对点共享域名而无法通过公共 DNS 访问。
这个分散域名系统是基于区块链的 DNS 系统,由于无法直接访问因此会加大安全研究人员追踪病毒的难度。
由于目前该MIRAI变种尚无新动作因此并不确定接下来攻击者会做什么,不过这种匿名化方案估计越来越多。