新Mirai病毒變種利用Tor網路躲避偵查

安全公司趨勢科技發現一隻Mirai病毒變種，會利用Tor網路來隱藏C&C伺服器以防止遭查緝。安全公司認為這可能是IoT惡意程式開發的新興趨勢。

Mirai是一隻物聯網殭屍網路病毒，專門利用已知或未公開的安全漏洞感染無線攝影機、路由器與監視器等物聯網裝置，並控制這些裝置發起分散式阻斷服務（DDoS）攻擊，在2016年曾經攻陷過資安部落格Krebs on Security、DNS供應商Dyn、ISP OVH等知名網站，之後衍生出多個變種持續危害網路，且感染對象也擴及投影機、電視及伺服器等。

而且迄今仍不停有Mirai變種產生。趨勢科技7月中發現一隻病毒，它會掃瞄網路上TCP ports 9527 和34567的連網裝置，判斷其目標主要是網路攝影機、DVR等物聯網裝置，這點和舊版本Mirai一樣，是透過曝露的傳輸埠和預設密碼來感染裝置並發動DDoS攻擊。此外，它也使用Mirai相同的運算法加密，由此可判斷是Mirai的變種。研究人員以其中的字串Longnose將之命名。

但是這隻變種很特殊的是，它背後的駭客將控制的C&C伺服器架在Tor網路中。普通Mirai變種有1到4台C&C伺服器，但趨勢科技發現Longnose有30個寫死的IP位置。分析呼叫連線後發現，目的地是通往Tor網路的socks代理伺服器。進一步研究顯示，惡意程式是從一個代理伺服器清單中隨機挑選一台伺服器，然後從socks5代理伺服器啟動查詢，以該伺服器為中繼節點將封包傳到位於Tor上的C&C伺服器。如果連線失敗就試另一台伺服器。研究人員認為惡意程式作者意在藉此防止C&C伺服器被追蹤IP並通報網域管理者，進而遭到關閉。

事實上，2017年也曾經有惡意程式BrickerBot把惡意程式主機代管在Tor網路上（諷刺的是，Mirai當初也是因為BrickerBot的興起而衰弱。）但趨勢科技認為Mirai變種進化到這種手法，可能帶動其他IoT惡意程式家族的演進，也預告新的網路威脅趨勢。

安全公司呼籲用戶應定期升級到最新版本的安全軟體，同時避免連到不安全的網路，以免從開放網際網路遭到感染。