蜜罐揭秘真實的mirai殭屍網路。
關於mirai文章已經很多,基本都是基於mirai公開原始碼的解讀,或者相關 ddos 事件的分析。我們決定使出洪荒之力,通過構建針對性蜜罐系統,主動探測揭秘當前網際網路上真實隱藏著的 mirai殭屍網路。
1、殭屍網路探測系統
基於mirai感染邏輯,我們研發了一套針對性的mirai殭屍網路探測系統。下邊簡單介紹一下mirai 的組成部分。
—-scanlisten模組:主要用於接收bot弱口令掃瞄得到的裝置資訊,包括:ip 、埠、使用者名稱、密碼。並將其傳送給 load處理。
—-load模組:接收scanlisten傳送的目標資訊,並針對每個裝置植入木馬。
—-cnc模組:主要用於管理bot,發起ddos攻擊。
—-bot模組:執行於網路裝置,主要實現網路裝置telnet弱口令掃瞄,同時接收cnc 控制指令對目標發動 ddos攻擊。
mirai的感染邏輯是:scanlisten在接受到bot 的掃瞄結果資訊後,未對資訊傳送方進行身份驗證,直接把結果傳遞給 load,然後 load直接對結果中的目標植入木馬。示意圖如下:
mirai的感染邏輯
我們通過偽造掃瞄結果資訊,把蜜罐系統位址資訊與登陸口令傳送給疑似scanlisten,如果命中真實scanlisten ,則相應的 load伺服器會對蜜罐系統植入 mirai木馬,木馬執行後與相應的cnc 伺服器建立連線。示意圖如下:
mirai殭屍網路探測系統
疑似scanlisten的ip獲取方法:在全球範圍內,掃瞄埠 48101 開啟的伺服器 ip。
真實scanliste命中確認方法:通過構造大量包極其複雜使用者名稱與密碼,在一定時間段內,保證針對乙個疑似scanlisten 傳送乙個唯一的使用者名稱密碼。通過監控與蜜罐系統建立 telnet連線時使用的使用者名稱與密碼,即可確定哪個疑似scanlisten是真實的 scanlisten。
2、scanlisten伺服器全球分布
通過近3個月的主動探測分析,我們發現有1874個 scanlisten 伺服器,分布於全球34 個國家或地區。
該地圖中顏色越深,代表分布數量越多,可以看出分布數量最大的幾個國家有中國大陸、美國、比利時、荷蘭、法國、西班牙、俄羅斯等
3、scanlisten伺服器中國大陸分布
在中國大陸,共發現422個,主要分布山東、上海、河南、浙江、遼寧等省份或者直轄市。
4、bot全球分布
我們對部分scanlisten接收到的bot資訊進行了統計,發現近 87 萬台bot 歷史記錄資訊,分布於202個國家或地區。主要分布於中國、俄羅斯、印度、巴西、越南、伊朗、巴基斯坦、義大利、日本、土耳其、美國等國。
5、bot中國大陸分布
6、bot掃瞄分析
通過蜜罐系統捕獲到的bot掃瞄使用的弱口令,發現已經累計增加到86條。 mirai 原bot 掃瞄利用弱口令為60個,如下圖所示:
7、悟語
通過對scanlisten與bot分布的分析,bot 主要分布於發展中國家,側面反映出發展中國家網路安全防禦能力普遍較弱。
我國經濟發展較強省份或地區在網路安全防禦能力方面沒有形成明顯優勢,讓我想起某安全人士所說的一句話:中國一流的網路規模卻只有四流網路安全防禦能力。我們於此事件中就可管中窺豹可見一斑,我國作為世界上擁有最多網民的國家,提高國家網路安全防禦能力已經刻不容緩!
Mirai殭屍網路的戰火還在瀰漫,利比亞已經淪陷
10月份,mirai殭屍網路攻擊了美國西海岸地區,致使半個美國的網路中斷。與此同時,全球開始進入緊急防禦狀態,加強網路防護。萬萬沒想到的是,mirai殭屍網路的攻擊行為並沒有結束。安全專家malwaremustdie指出,本週利比亞也遭受了一次大規模的ddos攻擊,全國斷網,對金融行業造成了很大的損...
揭秘!防毒軟體公司的誘捕蜜罐
揭秘!防毒軟體公司的誘捕蜜罐 在熱帶有一種叫做豬籠草的植物,它通過身體乙個像 罐 狀的部分分泌蜜汁來吸引小昆蟲,然後誘捕它們,作為食物。可是您知道嗎?在現在的網路中也有著乙個相似的東西,它就是網路蜜罐。防毒廠商如何獲得最新病毒 也許你時常聽到這樣的訊息,蠕蟲攻擊網路,該蠕蟲樣本被 公司首先截獲,病毒...
Linux入門 殭屍程序 的模擬實現
殭屍程序的產生,危害,避免,及其模擬實現殭屍程序。殭屍程序 當子程序退出,並且父程序沒有讀取到子程序的返回狀態碼,就會產生殭屍程序。殭屍程序的產生原因 a.子程序結束後向父程序發出sigchld訊號,父程序預設忽略了它 b.父程序沒有呼叫wait 或waitpid 函式來等待子程序的結束 c.網路原...