新Mirai病毒变种利用Tor网络避免侦查

安全公司趋势科技发现一只Mirai病毒变种，会利用Tor网络来隐藏C&C服务器以防止遭查缉。安全公司认为这可能是IoT恶意程式开发的新兴趋势。

Mirai是一只物联网僵尸网络病毒，专门利用已知或未公开的安全漏洞感染无线摄影机、路由器与监视器等物联网装置，并控制这些装置发起分散式阻断服务（DDoS）攻击，在2016年曾经攻陷过资安部落格Krebs on Security、DNS供应商Dyn、ISP OVH等知名网站，之后衍生出多个变种持续危害网络，且感染对象也扩及投影机、电视及服务器等。

而且迄今仍不停有Mirai变种产生。趋势科技7月中发现一只病毒，它会扫描网络上TCP ports 9527 和34567的连网装置，判断其目标主要是网络摄影机、DVR等物联网装置，这点和旧版本Mirai一样，是透过曝露的传输埠和预设密码来感染装置并发动DDoS攻击。此外，它也使用Mirai相同的运算法加密，由此可判断是Mirai的变种。研究人员以其中的字串Longnose将之命名。

但是这只变种很特殊的是，它背后的骇客将控制的C&C服务器架在Tor网络中。普通Mirai变种有1到4台C&C服务器，但趋势科技发现Longnose有30个写死的IP位置。分析呼叫连线后发现，目的地是通往Tor网络的socks代理服务器。进一步研究显示，恶意程式是从一个代理程式清单中随机挑选一台服务器，然后从socks5代理服务器启动查询，以该服务器为中继节点将封包传到位于Tor上的C&C服务器。如果连线失败就试另一台服务器。研究人员认为恶意程式作者意在借此防止C&C服务器被追踪IP并通报网域管理者，进而遭到关闭。

事实上，2017年也曾经有恶意程式BrickerBot把恶意程式主机代管在Tor网络上（讽刺的是，Mirai当初也是因为BrickerBot的兴起而衰弱。）但趋势科技认为Mirai变种进化到这种手法，可能带动其他IoT恶意程式家族的演进，也预告新的网络威胁趋势。

安全公司呼吁用户应定期升级到最新版本的安全软件，同时避免连到不安全的网络，以免从开放互联网遭到感染。