僵尸网络Mirai家族新特性

安天追影小组一直以来都在持续跟进监控Mirai的动态,并且通过对Mirai的bot被控端样本进行整理分析发现Mirai又有了新的特性。虽然Mirai botnet还是依旧坚持走IoT路线,但是为了获取更多的IoT设备进行感染,已经有黑产组织对Mirai源码进行改造,将SCANNER模块分开拓展到了Windows系列上,而且SCANNER在功能上也有所增加,从目前监控到的新版数据分析,Mirai黑产组织部署该Windows版本bot被控端已有一个多月时间。

分析介绍:

分析发现,Mirai家族Windows scanner_bot主要功能分为3个:
1、Telnet扫描:与elf类型的bot被控端一样,通过自身硬编码内获取IP网段进行扫描探测23端口的状态,然后解密硬编码的数据获取用户名及密码对开放的端口进行爆破,当爆破成功之后bot被控端则向控制端发送IP+Port+usr+psw。
2、SSH扫描:SSH 22端口爆破与telnet扫描爆破方法相同,区别是ssh的端口号为22。
3、SQL扫描:SQL scanner主要是SQL注入功能,通过SQL注入获取的数据价值比Telnet、SSH爆破出来数据价值高,因为通过SQL注入获取到数据库中的信息中可能连接有大量的IoT设备信息,如摄像头、Drv、媒体中心软件及其他内网设备,通过数据库中的设备信息进一步获取其权限并择机向IoT设备推送感染elf类型的Mirai bot被控端。SQL注入功能也是Mirai新家族升级后的最大亮点,目前通过分析发现被注入的数据库类型为微软的SQL SERVER数据库。

Mirai家族基本包含了Gafgyt家族的所有功能特性,Mirai不仅实现了Telnet、SSH网段扫描爆破,而且在此基础上,拓展了指定端口扫描探测如7547、48101、5555、6789等,并利用端口服务存在的远程执行漏洞实现bot被控端感染,以及实现拓展到Windows bot。

总结:

Mirai家族的魔爪已经不再局限于linux环境,也不再局限于Telnet、SSH扫描爆破,该家族已经开始利用Windows操作系统潜在的botnet资源环境和SQL注入的潜在价值,实现其在Windows 环境下的传播,而SQL扫描注入和SQL资源利用有助于Mirai botnet迅速的传播和层次化管控的优化,对于Mirai的防范,不能仅局限于完善Telnet,SSH等账号管控,更需要提高对数据库的安全防范,及时更新数据库版本修补漏洞,避免被SQL注入。

MD5:

93ccd8225c8695cade5535726b0dd0b6

参考链接:

https://securelist.com/blog/research/77621/newish-mirai-spreader-poses-new-risks/