本报告由国家互联网应急中心(CNCERT)与奇安信科技集团股份有限公司(奇安信)共同发布。
一、概述
近期,CNCERT和奇安信共同监测发现一个新的且在互联网上快速传播的DDoS僵尸网络,通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)最多已超过1万、且每日会针对多个攻击目标发起攻击,给网络空间带来较大威胁。该僵尸网络为Mirai变种,包括针对mips、arm、x86等CPU架构的样本,由于该僵尸网络样本均以miori命名,我们将其命名为Mirai_miori。在2个月的时间中,我们捕获到Mirai_miori僵尸网络样本至少迭代过3个版本,具有9个传播源,涉及6个C2服务器,传播方式主要为弱口令爆破以及1 day和N day漏洞。Mirai_miori僵尸网络出现以来所投递的样本变动很小,运营者将主要精力投入到漏洞搜集利用以及更换C2服务器上。
二、僵尸网络分析
(一)相关样本分析
本文选取V2 ARM CPU架构的样本为主要的分析对象,样本的基本信息如下。
文件名 | miori |
MD5 | bfb42bb1a4b0278bf2550e943a6c9f9e |
文件格式 | ELF 32-bit LSB executable ARM |
C2 | 2.56.56.162 |
1、样本运行后在控制台上输出以下内容“your device just got infected to a bootnoot”,并修改进程名为" "。
图1 样本运行信息
2、遍历/proc/目录下的文件,结束掉指定进程。
图2 结束指定进程
3、Mirai_miori变种对mirai的上线机制进行了修改。第一个包是固定四字节\\\\x03\\\\x00\\\\x02\\\\x01,第二个包是样本运行参数长度+运行参数,缺省为\\\\x00,一般在shell脚本里指定,之后每60s发送固定2字节心跳包\\\\x00\\\\x00,若10秒内有收到C2下发的非心跳指令,则心跳包间隔时间会相应增加。
图3 上线机制
4、DDoS攻击方法,样本内置了8种DDoS攻击,部分DDoS攻击复用了mirai的源码。
图4 攻击方式
(二)传播方式分析
Mirai_miori变种可以分为三个版本,运营者通过增加漏洞数量并积极利用1 day漏洞来扩大僵尸网络规模。以CVE-2022-29591漏洞为例,该漏洞首次披露于今年5月10日,我们在5月17日即捕获到该漏洞利用的流量,可见该僵尸网络运营人员对新漏洞具有较高的敏感性并具有一定的漏洞利用能力。
运营者所使用的漏洞信息:
各版本弱口令解密后内容如图5所示。
图5 各版本口令
三、僵尸网络感染规模
通过监测分析发现,2022年4月6日至6月6日Mirai_miori僵尸网络日上线境内肉鸡数最高达到1.1万台,累计感染肉鸡数达到4.4万。每日境内上线肉鸡数情况如下。
图6 每日上线境内肉鸡数
Mirai_miori僵尸网络位于境内肉鸡按省份统计,排名前三位的分别为浙江省(37.2%)、云南省(10.9%)和河南省(6.2%);按运营商统计,电信占79.7%,联通占18.5%,移动占0.7%。
图7 境内肉鸡按省份和运营商分布
四、僵尸网络攻击动态
通过跟踪监测发现,Mirai_miori僵尸网络自2022年4月6日出现起就一直对外发起DDoS攻击,后期随着控制规模扩大攻击行为日益活跃。攻击最猛烈的时候是 2022年5月30日共对323个目标发起DDoS攻击,2022年5月29日曾先后调动2.5千台肉鸡攻击某受害目标。其攻击事件趋势如下:
图8 Mira_miori变种僵尸网络攻击趋势
五、防范建议
请广大网民强化风险意识,加强安全防范,避免不必要的经济损失,主要建议包括:1、梳理已有资产列表,及时修复相关系统漏洞。2、不使用弱密码或默认密码,定期更换密码。
当发现主机感染僵尸木马程序后,立即核实主机受控情况和入侵途径,并对受害主机进行清理。
六、相关IOC
样本MD5:
fcedf135724d04d3299de41840da76a5
0294aa17e46586e7362cfde7e6f61e90
8ca06dff201e2efb1ef27282e875f720
09e16b247cb5d219252d2eb7185e4cd4
b1243cf53691dbccd3bcd5a5e2dea0ba
60ed67c5fd2c694cbed246c34f1996d4
bb3c7c16d1f045d9e0896dfe3558f794
549470175b5728bef241cd8318978071
2eb59f84503a5504463ea3d0acd21c98
135aab8d2ee4570d3d1f79b06df11202
1e06b8354d0d76b3e1c9f27794c6cc9e
452dc74070b167abb930ef3124ae9172
61fc0a2c42dab8730b074fa9c7ae7875
4d403169e481298767e7de263234094d
495c5cb7782ef8e8e2d0827302326226
c7072c10808b9f34daf54608c16b4165
44fd2a83044d5fe4e28d3d3f7109f7b2
bfb42bb1a4b0278bf2550e943a6c9f9e
93ef6d79bf74fb40a92a3577a2431194
fec708a45aee20dd22e2da807f3530d1
8ce0594eebe794f88f510c87cf1119dd
5bebe8d71b7bdc188efd3b451c27fb41
0225ecf57b8d91bc141c5ca22056016f
ba953ea2800ba05143b84e19bd810e1d
d3d96c71d604533fb9a3d3673f8bd641
88c2450f4158bc3ce8bc038c7923103c
2dc15f9aae304ecfc9aa9cad32dfd19c
683c7986e45b3b5c8840ef73144dfd30
23002f8a2d1900f0108bad51a1f1e124
3a155689509b91304f776015d1fc06cd
b37080f0f495d2e62aa377e4c291847e
39ea839c462d0248d9e7701843852685
b32a1c611ded2169cc5c6e281e5b4c0c
6844313d215b01dc1000e5d52090b6f7
c560ff207426cda72f15077ad841812e
4f87a057edf08576aef4232b87dd5481
9f98eacca243f3b4346e3d586efb91fb
下载链接:
http[:]//142.93.229.199/gaybub/miori.arm
http[:]//179.43.156.214/miori.arm
http[:]//185.28.39.119/gaybub/miori.arm
http[:]//185.28.39.119/gaybub/miori.mips
http[:]//185.28.39.119/miori.mips
http[:]//194.31.98.205/miori.arm
http[:]//194.31.98.205/miori.mips
http[:]//195.58.38.253/gaybub/miori.arm
http[:]//2.56.56.162/gaybub/miori.arm
http[:]//37.0.11.168/gaybub/miori.mips
http[:]//37.0.11.168/miori.arm
http[:]//46.19.137.50/c.sh
http[:]//46.19.137.50/gaybub/c.sh
http[:]//46.19.137.50/gaybub/miori.arc
http[:]//46.19.137.50/gaybub/miori.arm
http[:]//46.19.137.50/gaybub/miori.arm5
http[:]//46.19.137.50/gaybub/miori.arm6
http[:]//46.19.137.50/gaybub/miori.arm7
http[:]//46.19.137.50/gaybub/miori.i5
http[:]//46.19.137.50/gaybub/miori.i6
http[:]//46.19.137.50/gaybub/miori.m68k
http[:]//46.19.137.50/gaybub/miori.mips
http[:]//46.19.137.50/gaybub/miori.mipsl
http[:]//46.19.137.50/gaybub/miori.ppc
http[:]//46.19.137.50/gaybub/miori.sh4
http[:]//46.19.137.50/gaybub/miori.spc
http[:]//46.19.137.50/gaybub/miori.x86
http[:]//46.19.137.50/gaybub/sh
http[:]//46.19.137.50/gaybub/w.sh
http[:]//46.19.137.50/miori.arc
http[:]//46.19.137.50/miori.arm
http[:]//46.19.137.50/miori.arm5
http[:]//46.19.137.50/miori.arm6
http[:]//46.19.137.50/miori.arm7
http[:]//46.19.137.50/miori.i5
http[:]//46.19.137.50/miori.i6
http[:]//46.19.137.50/miori.m68k
http[:]//46.19.137.50/miori.mips
http[:]//46.19.137.50/miori.mipsl
http[:]//46.19.137.50/miori.ppc
http[:]//46.19.137.50/miori.sh4
http[:]//46.19.137.50/miori.spc
http[:]//46.19.137.50/miori.x86
http[:]//46.19.137.50/sh
http[:]//46.19.137.50/w.sh
http[:]//31.7.58.162/miori.mips
http[:]//31.7.58.162/miori.mpsl
http[:]//31.7.58.162/miori.x86
http[:]//31.7.58.162/miori.arm7
http[:]//31.7.58.162/miori.arm
http[:]//31.7.58.162/miori.sh4
http[:]//31.7.58.162/miori.arm6
http[:]//31.7.58.162/miori.arm5
http[:]//31.7.58.162/miori.ppc
http[:]//31.7.58.162/miori.arc
http[:]//31.7.58.162/miori.spc
http[:]//31.7.58.162/miori.i5
http[:]//31.7.58.162/miori.i6
http[:]//31.7.58.162/miori.m68k
http[:]//31.7.58.162/sh
http[:]//31.7.58.162/w.sh
http[:]//31.7.58.162/c.sh
控制IP:
142.93.229.199
2.56.56.162
179.43.156.214
46.19.137.50
195.58.38.253
31.7.58.162
声明:本文来自国家互联网应急中心CNCERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。