欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

蜜罐揭秘真实的Mirai僵尸网络

来源:本站整理 作者:泰格实验室 时间:2017-01-11 TAG: 我要投稿

关于Mirai文章已经很多,基本都是基于Mirai公开源码的解读,或者相关 DDOS 事件的分析。我们决定使出洪荒之力,通过构建针对性蜜罐系统,主动探测揭秘当前互联网上真实隐藏着的 Mirai僵尸网络。

 
1、僵尸网络探测系统
基于Mirai感染逻辑,我们研发了一套针对性的Mirai僵尸网络探测系统。下边简单介绍一下Mirai 的组成部分。
—-ScanListen模块:主要用于接收Bot弱口令扫描得到的设备信息,包括:ip 、端口、用户名、密码。并将其发送给 Load处理。
—-Load模块:接收ScanListen发送的目标信息,并针对每个设备植入木马。
—-CNC模块:主要用于管理Bot,发起DDOS攻击。
—-Bot模块:运行于网络设备,主要实现网络设备telnet弱口令扫描,同时接收CNC 控制指令对目标发动 DDOS攻击。
Mirai的感染逻辑是:ScanListen在接受到Bot 的扫描结果信息后,未对信息发送方进行身份验证,直接把结果传递给 Load,然后 Load直接对结果中的目标植入木马。示意图如下:

 
Mirai的感染逻辑
我们通过伪造扫描结果信息,把蜜罐系统地址信息与登陆口令发送给疑似ScanListen,如果命中真实ScanListen ,则相应的 Load服务器会对蜜罐系统植入 Mirai木马,木马运行后与相应的CNC 服务器建立连接。示意图如下:
 

Mirai僵尸网络探测系统
疑似ScanListen的IP获取方法:在全球范围内,扫描端口 48101 打开的服务器 IP。
真实ScanListe命中确认方法:通过构造大量包极其复杂用户名与密码,在一定时间段内,保证针对一个疑似ScanListen 发送一个唯一的用户名密码。通过监控与蜜罐系统建立 telnet连接时使用的用户名与密码,即可确定哪个疑似ScanListen是真实的 ScanListen。
2、ScanListen服务器全球分布
通过近3个月的主动探测分析,我们发现有1874个 ScanListen 服务器,分布于全球34 个国家或地区。

 
该地图中颜色越深,代表分布数量越多,可以看出分布数量最大的几个国家有中国大陆、美国、比利时、荷兰、法国、西班牙、俄罗斯等

 
3、ScanListen服务器中国大陆分布
在中国大陆,共发现422个,主要分布山东、上海、河南、浙江、辽宁等省份或者直辖市。


 
4、BOT全球分布
我们对部分ScanListen接收到的BOT信息进行了统计,发现近 87 万台BOT 历史记录信息,分布于202个国家或地区。主要分布于中国、俄罗斯、印度、巴西、越南、伊朗、巴基斯坦、意大利、日本、土耳其、美国等国。


 
5、BOT中国大陆分布
 


 
6、BOT扫描分析
通过蜜罐系统捕获到的Bot扫描使用的弱口令,发现已经累计增加到86条。 Mirai 原Bot 扫描利用弱口令为60个,如下图所示:
ID
用户名
密码
ID
用户名
密码
ID
用户名
密码
1
666666
666666
21
mother
fucker
41
root
hi3518
2
888888
888888
22
root
vizxv
42
root
user
3

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载