欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Mirai变种将C2隐藏在Tor网络中

来源:本站整理 作者:佚名 时间:2019-08-08 TAG: 我要投稿

Mirai是最著名的IoT恶意软件之一,近期研究表明犯罪分子仍在不断开发和使用该恶意软件。
在发现Mirai变种Miori之后一个月,研究人员又发现一个新的Mirai样本。与之前的Mirai变种类似,它允许攻击者通过暴露的端口和IoT设备中的默认凭证来远程访问和控制,攻击者可以用受感染的设备通过UDP洪泛等方式发起DDOS攻击。与之前的变种相比,研究人员发现该样本将C2服务器隐藏在Tor网络中实现匿名化。将恶意C2服务器隐藏在无法报告和下线的暗网中逐渐成为IOT恶意软件的一种趋势,网络安全研究人员、企业和用户需要警惕这一趋势并着手应对。
Socks5协议和配置
一般的Mirai变种又1~4个C2服务器,本变种样本中又30个硬编码的IP地址。研究人员在沙箱环境中分析了恶意软件样本与服务器之间的通信。通过执行样本,样本会发送一个socks5协议初始握手消息——一个特定的序列05 01 00。然后研究人员将该消息发送到服务器并获得socs5响应05 00,确认这是到Tor网络的socks代理。Shodan扫描结果也表明有socks代理运行在服务器上。

 图1. Shodan扫描结果也表明有socks代理运行在服务器上
进一步分析表明恶意软件会从代理列表中随机选择一个服务器,以含有socks5的连接来说,并查询来实现到C2服务器地址nd3rwzslqhxibkl7[.]onion:1356的包中继。如果中继连接建立失败,就会尝试用另一个代理服务器处理。在测试环境中通过Tor代理连接到C2服务器之后,研究人员确认返回的是攻击者的登陆提示,与之前按Mirai变种返回的相同。
与之前的Mirai变种类似,配置值是用XOR和0x22(34)加密的,并潜入在二进制文件中。解密后,研究人员发现了可以识别该变种名的字符串LONGNOSE: applet not found。

感染、传播和DDOS命令
研究人员发现该样本会在TCP端口9527和34567来扫描随机的IP地址,这可能是IP摄像机和DVR用来远程访问和控制的端口。配置数据包括用来感染其他主机的默认凭证。

图2. 样本发往端口 9527的命令

图3. 样本发往端口34567的信息
通过分析样本使用的通信协议,研究人员发现除了使用socks5连接外,其他都是典型的Mirai变种协议。研究人员还发现一个字节序列表明是来自C2服务器的DDOS命令,针对特定IP地址发起UDP洪泛攻击。

图4. 解密的来自C2服务器的ddos命令相关样本
通过查找相关的样本和信息,研究人员发现了该开放源还保存了适用于其他设备架构的样本。

图5. 分发服务器的开放目录
结论
该Mirai样本的最大特征就是将C2服务器放置在Tor网络中来绕过IP地址追踪并防止域名被拉黑。在2017年有一款恶意软件BrickerBot也使用了类似的技术,BrickerBot在入侵IoT设备后会将设备变种,防止被Mirai感染,在感染1000万设备后作者宣布退出。
虽然之前也有报道称恶意软件开发者将C2隐藏在Tor网络中,研究人员这在未来的IoT恶意软件家族中会成为一种趋势。由于Tor网络的环境,服务器的匿名性,会让恶意软件创建者和C2服务器所有者无法追踪。而且网络流量可以伪装为合法应用,而且是加密的,因此难以被AV产品拦截。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载