Fortinet實驗室對Mirai新變種OMG的分析
發現Mirai的新變種
FortiGuard實驗室團隊遇到了一個新的Mirai變體。自Mirai殭屍網路源代碼發布以來,FortiGuard實驗室已經看到了多名作者針對物聯網威脅環境時所進行的改編。這些基於Mirai的殭屍程序的修改除了最初的telnet暴力破解登錄之外,還增加了許多新的技術,包括漏洞利用以及以更多架構目標。我們觀察到,對Mirai的許多修改動機已經趨向於賺取更多的錢。Mirai最初是為DDoS攻擊而設計的,但後來的許多修改都被用於針對易受攻擊的ETH採礦設備來挖掘加密貨幣。在本文中,我們將討論一個名為OMG的基於Mirai的殭屍網路如何將物聯網設備轉變為代理伺服器。
2016年10月,Brian Krebs發表了一篇關於網路犯罪分子如何將物聯網設備轉換為代理伺服器來賺錢的文章。網路犯罪分子使用代理在進行各種骯髒工作時添加匿名性,如網路盜竊,黑客入侵系統等。使用代理伺服器賺錢的一種方法是將對這些伺服器的訪問許可權出售給其他網路犯罪分子。這就是我們認為這個基於Mirai的殭屍網路最新的變種背後的動機。
OMG與Mirai的相似之處
Mirai VS OMG
我們先看看OMG的配置表。最初加密的表使用0xdeadbeef作為密鑰種子進行解密,使用與原始Mirai相同的過程。我們注意到的第一件事是沒有找到字元串/ bin / busybox OOMGA和OOMGA:applet。 Mirai這個名字是因為未找到字元串/ bin / busybox MIRAI和MIRAI:applet而被提供給Mirai殭屍程序的,這些命令用於確定它是否已成功強制進入目標物聯網設備。這些字元串與其他變體相似,如Satori / Okiru,Masuta等。
出於這個原因,我們決定命名這個變體OMG。這個變體還增加並刪除了一些可以在原始Mirai代碼中找到的配置。兩個值得注意的添加是用於添加防火牆規則以允許兩個隨機埠上的流量的兩個字元串,我們將在文章的後半部分討論。
圖1. OMG配置表
OMG看起來像Mirai的原始模塊,包括攻擊,killer和掃描器模塊。這意味著它也可以執行原始Mirai的功能,即殺死進程(通過檢查開放埠和其他bot相關的其他進程來與telnet,ssh,http相關),telnet強力登錄以及DOS攻擊。
圖3. CnC域名解析
CnC埠也包含在配置表中,為50023。
圖5.發送的數據將其標識為新的bot
根據代碼,bot從伺服器接收一個5位元組長的數據字元串,第一個位元組是關於如何使用物聯網設備的命令。預期值為:0用作代理伺服器,1用於攻擊,> 1用於終止連接。
圖6.來自CnC伺服器的預期選項
使用3proxy的OMG
Mirai的這種變體使用3proxy作為其代理伺服器,這是一個開源軟體。設置開始時會生成兩個用於http_proxy_port和socks_proxy_port的隨機埠。一旦生成埠,它們就會被報告給CnC。
圖7.代理設置
要使代理正常工作,必須添加防火牆規則以允許生成的埠上的流量。如前所述,包含用於添加和刪除防火牆規則的命令的兩個字元串被添加到配置表中。
TABLE_IPTABLES1 -> used to INSERT a firewall rule.
iptables -I INPUT -p tcp --dport %d -j ACCEPT;
iptables -I OUTPUT -p tcp --sport %d -j ACCEPT;
iptables -I PREROUTING -t nat -p tcp --dport %d -j ACCEPT;
iptables -I POSTROUTING -t nat -p tcp --sport %d -j ACCEPT
TABLE_IPTABLES2 -> used to DELETE a firewall rule.
iptables -D INPUT -p tcp --dport %d -j ACCEPT;
iptables -D OUTPUT -p tcp --sport %d -j ACCEPT;
iptables -D PREROUTING -t nat -p tcp --dport %d -j ACCEPT;
iptables -D POSTROUTING -t nat -p tcp --sport %d -j ACCEPT
圖8.防火牆啟用/禁用功能
啟用防火牆規則以允許流量通過隨機生成的HTTP和SOCKS埠後,它將在其代碼中嵌入預定義配置的3proxy。
圖9.代理配置
由於伺服器在分析過程中不活躍,我們假設作者是出售對IoT代理伺服器的訪問許可權,為他們提供訪問憑據。
結論
這是我們第一次看到修改後的Mirai能夠進行DDOS攻擊,並在易受攻擊的物聯網設備上設置代理伺服器。隨著這一發展,我們相信未來越來越多的基於mirai的殭屍網路將會出現新的貨幣化方式。
※雲安全風險(一):Azure CSV注入漏洞
※用彙編語言編寫TCP Bind Shell的菜鳥教程
TAG:嘶吼RoarTalk |