社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
发帖 回复
« 返回列表
  • 3101阅读
  • 2回复

[分享]一个基于Mirai的僵尸网络分析

 楼层直达
z3960 
级别: 茶馆馆主
发帖
770593
飞翔币
207694
威望
215657
飞扬币
2511651
信誉值
8
只看楼主 更多操作 0 发表于: 2021-11-08
[font=-apple-system, BlinkMacSystemFont, &quot]突然发现已经好久没有写过分享贴了,正好闲着了就发个最近的样本吧。[font=-apple-system, BlinkMacSystemFont, &quot]
[font=-apple-system, BlinkMacSystemFont, &quot]样本信息[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot]
[font=-apple-system, BlinkMacSystemFont, &quot]木马概述[font=-apple-system, BlinkMacSystemFont, &quot]    此样本为arm架构样本,分析此样本中大量复用Mirai僵尸网络的代码,无漏洞利用代码,除了Mirai僵尸网络代码还存在DemonBot僵尸网络STD攻击特征。[font=-apple-system, BlinkMacSystemFont, &quot]
[font=-apple-system, BlinkMacSystemFont, &quot]木马执行细节[font=-apple-system, BlinkMacSystemFont, &quot]获取C2地址[font=-apple-system, BlinkMacSystemFont, &quot]    样本尝试连接恶意域名,如果域名接收数据失败则将C2设置为IP地址:[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]修改进程名为随机字符串[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]初始化攻击代码[font=-apple-system, BlinkMacSystemFont, &quot]    样本在 " attack_init" 的函数中初始化各个攻击代码的函数,同Mirai的泄露源码:[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]禁用watchdog[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]劫持端口进行独占[font=-apple-system, BlinkMacSystemFont, &quot]    通过 "ensure_single_instance" 函数劫持端口,防止其他僵尸网络获取控制权限,同Mirai的泄露源码:[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]telnet爆破[font=-apple-system, BlinkMacSystemFont, &quot]    发送TCP包尝试连接随机IP的23或2323端口的 telnet 服务,与Mirai泄露源码中的SYN扫描模块一致:[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]    通过内置的字典进行爆破:[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]    如果爆破成功则将相关信息发送给收集telnet嗅探信息的C2:[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]连接C2接收攻击指令[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]攻击指令总结[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot]
[font=-apple-system, BlinkMacSystemFont, &quot]僵尸网络关联[font=-apple-system, BlinkMacSystemFont, &quot]    此样本与Mirai僵尸网络的代码存在高度相似性,其中存在DemonBot僵尸网络STD攻击使用的固定负载,怀疑是DemonBot僵尸网络的变种:[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot]
[font=-apple-system, BlinkMacSystemFont, &quot]IOCs[font=-apple-system, BlinkMacSystemFont, &quot]    bots1.firewalla1337.cc    scan1.firewalla1337.cc    107.189.1.185:23
关键词: bot 木马
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
837479
飞翔币
228822
威望
224673
飞扬币
2467358
信誉值
0
只看该作者 1 发表于: 2021-11-10
来看一下
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
837479
飞翔币
228822
威望
224673
飞扬币
2467358
信誉值
0
只看该作者 2 发表于: 2021-11-10
不错,了解了
回复 引用
举报
发帖 回复
« 返回列表