<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    CNCERT:關于Mirai變種Miori僵尸網絡大規模傳播的風險提示

    VSole2022-06-14 20:22:23

    本報告由國家互聯網應急中心(CNCERT)與奇安信科技集團股份有限公司(奇安信)共同發布。

    一 概述

    近期,CNCERT和奇安信共同監測發現一個新的且在互聯網上快速傳播的DDoS僵尸網絡,通過跟蹤監測發現其每日上線境內肉雞數(以IP數計算)最多已超過1萬、且每日會針對多個攻擊目標發起攻擊,給網絡空間帶來較大威脅。該僵尸網絡為Mirai變種,包括針對mips、arm、x86等CPU架構的樣本,由于該僵尸網絡樣本均以miori命名,我們將其命名為Mirai_miori。在2個月的時間中,我們捕獲到Mirai_miori僵尸網絡樣本至少迭代過3個版本,具有9個傳播源,涉及6個C2服務器,傳播方式主要為弱口令爆破以及1 day和N day漏洞。Mirai_miori僵尸網絡出現以來所投遞的樣本變動很小,運營者將主要精力投入到漏洞搜集利用以及更換C2服務器上。

    二 僵尸網絡分析

    (一)相關樣本分析

    本文選取V2 ARM CPU架構的樣本為主要的分析對象,樣本的基本信息如下。

    1、樣本運行后在控制臺上輸出下內容“your device just got infected to a bootnoot”,并修改進程名為" "。

    圖1 樣本運行信息

    2、遍歷/proc/目錄下的文件,結束掉指定進程。

    圖2 結束指定進程

    3、Mirai_miori變種對mirai的上線機制進行了修改。第一個包是固定四字節\x03\x00\x02\x01,第二個包是樣本運行參數長度+運行參數,缺省為\x00,一般在shell腳本里指定,之后每60s發送固定2字節心跳包\x00\x00,若10秒內有收到C2下發的非心跳指令,則心跳包間隔時間會相應增加。

    圖3 上線機制

    4、DDoS攻擊方法,樣本內置了8種DDoS攻擊,部分DDoS攻擊復用了mirai的源碼。

    圖4 攻擊方式

    (二)傳播方式分析

    Mirai_miori變種可以分為三個版本,運營者通過增加漏洞數量并積極利用1 day漏洞來擴大僵尸網絡規模。以CVE-2022-29591漏洞為例,該漏洞首次披露于今年5月10日,我們在5月17日即捕獲到該漏洞利用的流量,可見該僵尸網絡運營人員對新漏洞具有較高的敏感性并具有一定的漏洞利用能力。

    運營者所使用的漏洞信息:

    各版本弱口令解密后內容如圖5所示。

    圖5 各版本口令

    三 僵尸網絡感染規模

    通過監測分析發現,2022年4月6日至6月6日Mirai_miori僵尸網絡日上線境內肉雞數最高達到1.1萬臺,累計感染肉雞數達到4.4萬。每日境內上線肉雞數情況如下。

    圖6 每日上線境內肉雞數

    Mirai_miori僵尸網絡位于境內肉雞按省份統計,排名前三位的分別為浙江省(37.2%)、云南省(10.9%)和河南省(6.2%);按運營商統計,電信占79.7%,聯通占18.5%,移動占0.7%。

    圖7  境內肉雞按省份和運營商分布

    四 僵尸網絡攻擊動態

    通過跟蹤監測發現,Mirai_miori僵尸網絡自2022年4月6日出現起就一直對外發起DDoS攻擊,后期隨著控制規模擴大攻擊行為日益活躍。攻擊最猛烈的時候是 2022年5月30日共對323個目標發起DDoS攻擊,2022年5月29日曾先后調動2.5千臺肉雞攻擊某受害目標。其攻擊事件趨勢如下:

    圖8 Mira_miori變種僵尸網絡攻擊趨勢

    五 防范建議

    請廣大網民強化風險意識,加強安全防范,避免不必要的經濟損失,主要建議包括:1、梳理已有資產列表,及時修復相關系統漏洞。2、不使用弱密碼或默認密碼,定期更換密碼。

    當發現主機感染僵尸木馬程序后,立即核實主機受控情況和入侵途徑,并對受害主機進行清理。

    六 相關IOC

    樣本MD5:

    fcedf135724d04d3299de41840da76a5

    0294aa17e46586e7362cfde7e6f61e90

    8ca06dff201e2efb1ef27282e875f720

    09e16b247cb5d219252d2eb7185e4cd4

    b1243cf53691dbccd3bcd5a5e2dea0ba

    60ed67c5fd2c694cbed246c34f1996d4

    bb3c7c16d1f045d9e0896dfe3558f794

    549470175b5728bef241cd8318978071

    2eb59f84503a5504463ea3d0acd21c98

    135aab8d2ee4570d3d1f79b06df11202

    1e06b8354d0d76b3e1c9f27794c6cc9e

    452dc74070b167abb930ef3124ae9172

    61fc0a2c42dab8730b074fa9c7ae7875

    4d403169e481298767e7de263234094d

    495c5cb7782ef8e8e2d0827302326226

    c7072c10808b9f34daf54608c16b4165

    44fd2a83044d5fe4e28d3d3f7109f7b2

    bfb42bb1a4b0278bf2550e943a6c9f9e

    93ef6d79bf74fb40a92a3577a2431194

    fec708a45aee20dd22e2da807f3530d1

    8ce0594eebe794f88f510c87cf1119dd

    5bebe8d71b7bdc188efd3b451c27fb41

    0225ecf57b8d91bc141c5ca22056016f

    ba953ea2800ba05143b84e19bd810e1d

    d3d96c71d604533fb9a3d3673f8bd641

    88c2450f4158bc3ce8bc038c7923103c

    2dc15f9aae304ecfc9aa9cad32dfd19c

    683c7986e45b3b5c8840ef73144dfd30

    23002f8a2d1900f0108bad51a1f1e124

    3a155689509b91304f776015d1fc06cd

    b37080f0f495d2e62aa377e4c291847e

    39ea839c462d0248d9e7701843852685

    b32a1c611ded2169cc5c6e281e5b4c0c

    6844313d215b01dc1000e5d52090b6f7

    c560ff207426cda72f15077ad841812e

    4f87a057edf08576aef4232b87dd5481

    9f98eacca243f3b4346e3d586efb91fb

    下載鏈接:

    http[:]//142.93.229.199/gaybub/miori.arm

    http[:]//179.43.156.214/miori.arm

    http[:]//185.28.39.119/gaybub/miori.arm

    http[:]//185.28.39.119/gaybub/miori.mips

    http[:]//185.28.39.119/miori.mips

    http[:]//194.31.98.205/miori.arm

    http[:]//194.31.98.205/miori.mips

    http[:]//195.58.38.253/gaybub/miori.arm

    http[:]//2.56.56.162/gaybub/miori.arm

    http[:]//37.0.11.168/gaybub/miori.mips

    http[:]//37.0.11.168/miori.arm

    http[:]//46.19.137.50/c.sh

    http[:]//46.19.137.50/gaybub/c.sh

    http[:]//46.19.137.50/gaybub/miori.arc

    http[:]//46.19.137.50/gaybub/miori.arm

    http[:]//46.19.137.50/gaybub/miori.arm5

    http[:]//46.19.137.50/gaybub/miori.arm6

    http[:]//46.19.137.50/gaybub/miori.arm7

    http[:]//46.19.137.50/gaybub/miori.i5

    http[:]//46.19.137.50/gaybub/miori.i6

    http[:]//46.19.137.50/gaybub/miori.m68k

    http[:]//46.19.137.50/gaybub/miori.mips

    http[:]//46.19.137.50/gaybub/miori.mipsl

    http[:]//46.19.137.50/gaybub/miori.ppc

    http[:]//46.19.137.50/gaybub/miori.sh4

    http[:]//46.19.137.50/gaybub/miori.spc

    http[:]//46.19.137.50/gaybub/miori.x86

    http[:]//46.19.137.50/gaybub/sh

    http[:]//46.19.137.50/gaybub/w.sh

    http[:]//46.19.137.50/miori.arc

    http[:]//46.19.137.50/miori.arm

    http[:]//46.19.137.50/miori.arm5

    http[:]//46.19.137.50/miori.arm6

    http[:]//46.19.137.50/miori.arm7

    http[:]//46.19.137.50/miori.i5

    http[:]//46.19.137.50/miori.i6

    http[:]//46.19.137.50/miori.m68k

    http[:]//46.19.137.50/miori.mips

    http[:]//46.19.137.50/miori.mipsl

    http[:]//46.19.137.50/miori.ppc

    http[:]//46.19.137.50/miori.sh4

    http[:]//46.19.137.50/miori.spc

    http[:]//46.19.137.50/miori.x86

    http[:]//46.19.137.50/sh

    http[:]//46.19.137.50/w.sh

    http[:]//31.7.58.162/miori.mips

    http[:]//31.7.58.162/miori.mpsl

    http[:]//31.7.58.162/miori.x86

    http[:]//31.7.58.162/miori.arm7

    http[:]//31.7.58.162/miori.arm

    http[:]//31.7.58.162/miori.sh4

    http[:]//31.7.58.162/miori.arm6

    http[:]//31.7.58.162/miori.arm5

    http[:]//31.7.58.162/miori.ppc

    http[:]//31.7.58.162/miori.arc

    http[:]//31.7.58.162/miori.spc

    http[:]//31.7.58.162/miori.i5

    http[:]//31.7.58.162/miori.i6

    http[:]//31.7.58.162/miori.m68k

    http[:]//31.7.58.162/sh

    http[:]//31.7.58.162/w.sh

    http[:]//31.7.58.162/c.sh

    控制IP:

    142.93.229.199

    2.56.56.162

    179.43.156.214

    46.19.137.50

    195.58.38.253

    31.7.58.162

    文章來源:國家互聯網應急中心CNCERT



    僵尸網絡
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    僵尸網絡活動激增 企業應做好對抗DDoS攻擊準備
    2024-01-17 08:21:21
    安全研究人員發現,在2023年12月至2024年1月的第一周期間,全球僵尸網絡活動顯著增加,觀察到的峰值超過100萬臺設備。此前每天平均約有10000臺設備處于活躍狀態,去年12月初,其數量飆升到35000臺以上,12月末突破超10萬水平,今年1月初同樣處于高位水平。研究人員強調稱,強大的DDoS防護是企業對抗這些新僵尸網絡威脅的必備條件。
    僵尸網絡正通過阿里云、AWS、Docker進行挖礦
    2022-04-24 07:25:27
    據悉,跨平臺加密貨幣挖掘僵尸網絡LemonDuck正在針對開源應用容器引擎Docker,以在Linux系統上挖掘加密貨幣。
    僵尸網絡Kraken輕松騙過Windows Defender并竊取加密貨幣錢包數據
    2022-02-20 13:47:42
    微軟最近對Windows Defender的排除權限進行了更新,沒有管理員權限就無法查看排除的文件夾和文件。這是一個重要的變化,因為威脅者往往會利用這一信息在這種被排除的目錄中提供惡意軟件的載荷,以繞過防御者的掃描。
    僵尸網絡常見攻擊方式盤點,預防與阻止最關鍵
    2021-12-21 19:40:15
    一文get僵尸網絡的常見攻擊方式、防范方法
    僵尸網絡是如何應對執法行動的?
    2021-12-08 07:00:21
    僵尸網絡目前已經成為了一個大問題,有多種方式可以清除僵尸網絡,如滲透攻入攻擊基礎設施、ISP 強制下線惡意服務器、DNS 水坑、扣押相關數字資產、逮捕犯罪分子等。清除僵尸網絡的核心問題在于:如果僵尸網絡沒有被完全清除或者其運營人員沒有被逮捕起訴,運營人員可能很容易就恢復運營并使其更難以鏟除。
    僵尸網絡DDoS攻擊高達2200萬RPS
    2021-09-15 21:35:04
    上個月,強大僵尸網絡“新秀”發起一系列基于每秒請求數的超大型分布式拒絕服務(DDoS)攻擊,以“一展身手”的方式顯示自身實力。該僵尸網絡被命名為Mēris(拉脫維亞語中意為“瘟疫”),是截至目前最大型應用層DDoS攻擊的背后黑手,在一周前的攻擊中曾達到過2180萬請求每秒(RPS)的峰值。
    僵尸網絡對互聯網進行大規模掃描以尋找不安全的 ENV 文件
    2020-11-23 11:39:04
    威脅者正在尋找通常存儲在ENV文件中的API令牌,密碼和數據庫登錄名。由于它們保存的數據的性質,ENV文件應始終存儲在受保護的文件夾中。超過2800個不同的IP地址已經被用來掃描ENV文件,在過去的三年中,有超過1100臺掃描儀是活躍在過去一個月內,據安全廠商Greynoise。建議開發人員進行測試,看看他們的應用程序的ENV文件是否可以在線訪問,然后保護任何意外暴露的ENV文件。
    InfectedSlurs 僵尸網絡針對 QNAP VioStor NVR 漏洞
    2023-12-19 11:13:37
    基于 Mirai 的僵尸網絡 InfectedSlurs 被發現主動利用兩個零日漏洞針對 QNAP VioStor NVR(網絡錄像機)設備。研究人員于 2023 年 10 月發現了該僵尸網絡,但他們認為該僵尸網絡至少從 2022 年起就一直活躍。專家們向各自的供應商報告了這兩個漏洞,但他們計劃在 2023 年 12 月發布修復程序。
    新的 P2PInfect 僵尸網絡 MIPS 變體瞄準路由器和物聯網設備
    2023-12-05 11:22:35
    網絡安全研究人員發現了一種名為P2PInfect的新興僵尸網絡的新變種,它能夠針對路由器和物聯網設備。
    VSole
    網絡安全專家
      亚洲 欧美 自拍 唯美 另类