蜜罐揭秘真實的Mirai殭屍網路

新聞 01-10

*本文原創作者：泰格實驗室，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

關於

Mirai

文章已經很多，基本都是基於

Mirai

公開源碼的解讀，或者相關

DDOS

事件的分析。我們決定使出洪荒之力，通過構建針對性蜜罐系統，主動探測揭秘當前互聯網上真實隱藏著的

Mirai

殭屍網路。

1、殭屍網路探測系統

基於

Mirai

感染邏輯，我們研發了一套針對性的

Mirai

殭屍網路探測系統。下邊簡單介紹一下

Mirai

的組成部分。

—-ScanListen

模塊：

主要用於接收

Bot

弱口令掃描得到的設備信息，包括：

、埠、用戶名、密碼。並將其發送給

Load

處理。

—-Load

模塊：

接收

ScanListen

發送的目標信息，並針對每個設備植入木馬。

—-CNC

模塊：

主要用於管理

Bot

，發起

DDOS

攻擊。

—-Bot

模塊：

運行於網路設備，主要實現網路設備

telnet

弱口令掃描，同時接收

CNC

控制指令對目標發動

DDOS

攻擊。

Mirai

的感染邏輯

是：

ScanListen

在接受到

Bot

的掃描結果信息後，未對信息發送方進行身份驗證，直接把結果傳遞給

Load

，然後

Load

直接對結果中的目標植入木馬。示意圖如下：

Mirai

的感染邏輯

我們通過偽造掃描結果信息，把蜜罐系統地址信息與登陸口令發送給疑似

ScanListen

，如果命中真實

ScanListen

，則相應的

Load

伺服器會對蜜罐系統植入

Mirai

木馬，木馬運行後與相應的

CNC

伺服器建立連接。示意圖如下：

Mirai

殭屍網路探測系統

疑似

ScanListen

的

獲取方法：

在全球範圍內，掃描埠

48101

打開的伺服器

。

真實

ScanListe

命中確認方法：

通過構造大量包極其複雜用戶名與密碼，在一定時間段內，保證針對一個疑似

ScanListen

發送一個唯一的用戶名密碼。

通過監控與蜜罐系統建立

telnet

連接時使用的用戶名與密碼，即可確定哪個疑似

ScanListen

是真實的

ScanListen。

2、ScanListen伺服器全球分布

通過近

個月的主動探測分析，我們發現有

1874

個

ScanListen

伺服器，分布於全球

個國家或地區

。

該地圖中顏色越深，代表分布數量越多，可以看出分布數量最大的幾個國家有中國大陸、美國、比利時、荷蘭、法國、西班牙、俄羅斯等。

3、ScanListen伺服器中國大陸分布

在中國大陸，共發現

422

個，主要分布山東、上海、河南、浙江、遼寧等省份或者直轄市。

4、BOT全球分布

我們對部分

ScanListen

接收到的

BOT

信息進行了統計，發現近

萬台

BOT

歷史記錄信息，分布於

202

個國家或地區。主要分布於中國、俄羅斯、印度、巴西、越南、伊朗、巴基斯坦、義大利、日本、土耳其、美國等國。

5、BOT中國大陸分布

6、BOT掃描分析

通過蜜罐系統捕獲到的

Bot

掃描使用的弱口令，發現已經累計增加到

條。

Mirai

原

Bot

掃描利用弱口令為

個，如下圖所示：

ID	用戶名	密碼	ID	用戶名	密碼	ID	用戶名	密碼
1	666666	666666	21	mother	fucker	41	root	hi3518
2	888888	888888	22	root	vizxv	42	root	user
3	admin	admin	23	root	xc3511	43	root	dreambox
4	admin	1234	24	root	root	44	root	klv123
5	admin	password	25	root	admin	45	root	0
6	admin	7ujMko0admin	26	root	default	46	root	7ujMko0admin
7	admin	smcadmin	27	root	123456	47	root	7ujMko0vizxv
8	admin	admin1234	28	root	Zte521	48	root	system
9	admin	1111	29	root	juantech	49	root	ikwb
10	admin	123456	30	root	anko	50	root	klv1234
11	admin	12345	31	root	12345	51	root	realtek
12	admin	54321	32	root	xmhdipc	52	root	zlxx
13	admin	4321	33	root	54321	53	supervisor	supervisor
14	admin	1111111	34	root	888888	54	support	support
15	admin	pass	35	root	1234	55	tech	tech
16	admin	meinsm	36	root	password	56	ubnt	ubnt
17	admin1	password	37	root	1111	57	user	user
18	administrator	1234	38	root	pass	58	Administrator	admin
19	guest	12345	39	root	666666	59	admin
20	guest	guest	40	root	jvbzd	60	root

最新Bot新增掃描弱口令26條，詳細信息如下圖所示：

ID	用戶名	密碼	ID	用戶名	密碼	ID	用戶名	密碼
1	admin	cat1029	10	default	antslq	19	root	telnet
2	admin	ZmqVfoSIP	11	guest	admin	20	root	grouter
3	admin	888888	12	netgear	netgear	21	root	oelinux123
4	admin	guest	13	realtek	realtek	22	root	88888888
5	admin	666666	14	root	1001chin	23	service	service
6	Admin	111111	15	root	cat1029	24	system	system
7	admin	oelinux123	16	root	tl789	25	telnet	telnet
8	Administrator	meinsm	17	root	GM8182	26	user	qweasdzx
9	adminlvjh	adminlvjh123	18	root	hunt5759