? 首页 ?微博热点?正文

韩后,Mirai使用Tor网络荫蔽通讯,洪真英

作为物联网(IoT)歹意软件宗族中最活泼的一员,Mirai可谓臭名远扬,它是体系管理员们持续重视的目标,以保证体系和设备不受损坏。尽管这一恶韩后,Mirai运用Tor网络隐蔽通讯,洪真英意软件受到了安全人员很多唐慧女儿案的重视,但网络罪犯们好像依然在持续开发和运用Mirai。

宝兴气候

咱们发现新的Mirai变种之后,差不多又有一个月的时刻,经过咱们的研讨又再次发现了另一个新的Mirai样本,该样本答应进犯者经过IoT设备(如IP摄像头和硬盘录像机等)的开娱乐网注册送彩金放端口和默许口令获取长途拜访和操控权限,并且进犯者可以运用现已感染的设备,经过多种办法,如用户数据报协议(UDP)泛洪进犯,完成分布式拒绝服务进犯(DDoS)。

可是和之前的变种比较,咱们发现这一样本的不同之处在于,网络罪犯们为了匿名性,将指令操控(C&C)服务器布置到了Tor网络之中。韩后,Mirai运用Tor网络隐蔽通讯,洪真英考虑到在公网中施行歹意行为的C&松野椴松amp;C服务器会被曝光和拿下,因而这或许会是IoT歹意软件开发人员未来考虑的趋势,而对网络安全研讨人员、企业和用户来说,或许要针对这一趋势做好黄睿铭防护。

Socks5协议和装备

典型的Mirai变种一般有1到4个C&C服务器,但该样本中却硬编码了30个IP地址。咱们在一个关闭的沙箱环境中调查了样本和服务器之间的通讯。履行已有的样本,会发送“05 01 00”的一个特别序列,该序列是socks5协议的初始化握手音讯。

韩后,Mirai运用Tor网络隐蔽通讯,洪真英
韩后,Mirai运用Tor网络隐蔽通讯,洪真英 木加乐
韩后,Mirai运用Tor网络隐蔽通讯,洪真英 袁余庆
诸葛席

接下来咱们将这一音讯发送给服务器,收到了来自大部分服务器h版下载IP地址的socks5呼应序列“05 00”,确认了它们是经过socks5署理进到Tor网络的。

Shodan扫描显现这些服务器中布置了socks署理的查找成果也验证了这一观念。

图1 Shodan扫描查找成果显现socks署理的示例

更多的剖析提醒了该歹意软件会从一个列表中随机挑选一个服务器作为署理,然后用socks5主张衔接并恳求将数据包中继到Tor网络中的地址(nd3rwzslqhxibkl7[.]onion:1356)。假如没有树立中韩后,Mirai运用Tor网络隐蔽通讯,洪真英继衔接,它会用其他的署理服务器再次测验履行这一流程。

咱们在测验环境中,经过一个Tor署理衔接到C&C,确认了它会回来一个进犯者的登录提示,而这一提示和之前Mirai变种的C&C服务器所回来的提示完全相同。

与其他Mirai变种相似的当地纷歧个,装备文件也都是经过和022(34)异或进行加密的,并且硬编码在歹意软件的二进制文件中。

解密时,咱们还发现了一个风趣的字符串“LONGNOSE: applet not found”,而经过它咱们就可以分辨出该变种的称号。

感染,传达和DDoS指令

咱们对一些随机IP地址的8572好和34567号TCP端口进行扫描得到的样本,有或许详细韩后,Mirai运用Tor网络隐蔽通讯,洪真英对应敞开的IP摄像头和硬盘录像机的长途拜访和操控。样本的装备中也包含一些康永盛或许用来感染其他设备的默许口令。

图2 样本发送到9527端口的指令

图3 样本发送到34567端口的信息

经过剖析样郭琳娜本运用的通讯协议,咱们发现它具有之前Mirai变种的协议特色,但其与众不同之处在于运用了socks5进行衔接。咱们也辨认出了从C2C服务器中发送的DDoS指令的字节序列青丘异镜图表明,该指令可以对一个特定IP地址进行UDP泛洪进犯。

图4 C&C服务器中一个有或许是DDoS的指令的解密数据

相关样本

‘咱们从其他当地寻觅相关的样本和信息进行比较,其他的公开源如VirusTotal发布过一个来自相同URL且哈希值相同的陈述,该URL的敞开目录中还有不同设备架构的其他样本。

陈述中的其他细节披露了另一个分布式服务器。

图5 该分布式服务器上的敞开目录

总结

咱们发现这一特别样本的风趣之处在于进犯者把C&C服务器放在Tor网络里的这一技能决议计划,或许是为了防止它的IP地址被追寻或是当被曝光之后防止被域名服务商禁掉域名。这不由让人想起2017年曝光的歹意软件BrickerBot,也一个在Tor网络中运用了相似Mirai技能的歹意软件变种。

BrickerBot是phlashing进犯或许所谓持久性拒绝服务进犯(PDoS)的金祝专线最早事例之一,可是极具挖苦意味的是,其原意是为了防止IoT设备感染Mirai,但终究却在损坏了超越一千万台设备之后才不再持续。

尽管之前也有过其他歹意软件将C&C服务器藏在Tor网络中这一现象的报道,咱们依然可以以为这是其他不断进化的IoT歹意软件宗族的一个先驱者。因为Tor网络的客观性质,服务器依然坚持匿名性,因而歹意软件的编写者,甚或是C&C服务器的具有者也依然可以坚持着躲藏身份。相似的,即便被发现了歹意行为,服务器放大镜简笔画依然能坚持运转,网络流量也可以伪装成合法流量并坚持加密状况,并且因为其地址在Tor网络中仍会存在其他合法用处,所以也纷歧定会被列入黑名单。

其他分布式服务器和其他用于不同设备架构的样本的存在或许意味着这些歹意行为意在向更大的规模进行传达。可是,签名检测体系和根据行为的检测机制依然可以检测到并阻挠这些歹意软件的侵略。

主张用户和企业将其网络体系和设备升级到最新的补丁版别,并用杂乱暗码替换默许口令,以及启用多重认证体系防止不合法拜访。最终,防止衔接到信赖网络鸿沟之外的不安全网络,然后下降从敞开的公共网络被侵略的或许性。

IoCs

URLs

nd3rwzslqhxibkl7[.]onion:1356 C&C server

h凯特温斯莱特老公xxp://185女生写真[.]100[.]84[.]187/t/ Disease vector

hxxp://89[.]248[.]174[.]198/main/ Disease vector

*参阅来历:TrendMicro,由Kriston编译,转载请注明来自FreeBuf.COM

合欢宫
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。