Overview The Mirai family, as the evergreen tree of botnet, exists numerous variants, but rarely appear Mirai variants using DGA(Domain Generation Algorithm), according to our observation, the last Mirai variant using DGA appeared in 2016. in March 2024, we captured new suspicious ELF samples, which we learnt through analysis

概述 Mirai家族作为botnet的常青树，存在众多变种，但极少出现使用DGA的Mirai变种，据我们观测，上一个使用DGA（Domain Generation Algorithm）的Mirai变种出现于2016年。2024年3月，我们捕获到了新的可疑ELF样本，通过分析得知是另一个使用DGA的Mirai变种，分析关联的历史样本，我们不仅发现了没有使用DGA的版本（2024.02），还发现了漏洞扫描器和远控样本（2024.01），这引起我们的极大兴趣。根据下载脚本中的版本信息，我们姑且将其命名为Mirai.Nomi。 Mirai.Nomi样本具有以下特点： * 魔改UPX壳（修改UPX魔术头、异或原始载荷） * 使用时间相关的DGA并加入验证机制 * 使用多个加密算法、哈希算法（AES、CHACHA20、MD5） 样本分析 最新ELF样本修改自Mirai LZRD变种，新增了持久化函数和域名生成函数，其他部分基本沿用原始代码。UPX壳修改魔术头为0B 3E 2A AF 解压缩每个block后，单字节异或0xD4，可通过动态dump或者重新编译UP