东巽科技:Mirai木马“借道”新浪博客攻击windows服务器

一、Mirai木马介绍

Mirai 软件能够感染各类存在漏洞的物联网设备,其中包括安保摄像头、DVR 以及互联网路由器等,通过恶意感染,这些物联网装置将成为僵尸网络中的肉鸡设备,并被用于实施大规模 DDoS 攻击。

2016 年 10 月 21 日 11:10 UTC( 北京时间 19:10 左右 ) ,一场大规模的互联网瘫痪席卷了美国,恶意软件 Mirai 控制的僵尸网络对美国域名服务器管理服务供应商 Dyn 发起 DDOS 攻击,从而导致许多网站在美国东海岸地区宕机。

作为盈利性的僵尸网络,Mirai有admin和普通user两种用户角色,admin是僵尸网络管理员,admin把僵尸网络售卖给普通user,并根据购买的bot数量定价,这些都可以从C&C代码里得出,而且数据库里有个last_paid时间戳字段,即上次支付时间,每个普通user有自己的登录僵尸的密码,admin管理员通过命令adduser分配普通用户信息并记录到数据库。

Mirai源码已经被披露并被放到Github上,导致Mirai的变种越来越多,由此产生的攻击事件也越来越频繁。

 

二、Mirai木马事件跟踪

在最近的一次样本分析中,东巽科技发现了几例针对Windows服务器进行攻击的Mirai样本,且使用了隐蔽隧道、文件隐写等技术手段。

2.1 利用sina获取IP

东巽科技发现在执行样本之后,会主动请求一个新浪blog地址,从该页面获取一串事先编辑好的加密字符,解密后为一个IP地址。

URL http://blog.sina.com.cn/s/blog_16fb721c50102x6hx.html

页面截图:

1

通过blog的主页,http://blog.sina.com.cn/u/6169240005,可以看到还有一个相同内容的blog,编写日期都是2017年3月8日。

2

wpd地址为1.0.0.2版本使用。其中关键的串:AAEYBAQPGAcCAhgEBw4=,解密后为

67.229.144.218 美国

2.2 利用图片隐写内嵌木马

木马获取的IP地址后,会连接到http://67.229.144.218:8888/update.txt进行其他文件的篡改。

3

其中http://67.229.144.218:8888/ps.jpg下载后为图片格式,

4

利用WinHex工具查看,可以查找到明显的PE结构隐藏在该图片中。

5

提取出PE文件后,分析得是Mirai木马。

将Mirai目前隐藏在图片文件中的目的,应该是绕过一些安全设备会识别HTTP流中可还原的PE文件,逃避分析或报警。

2.3 版本更新

样本后续会判断下载释放出来的Mirai木马否是最新版本,通过以下地址获取到最高版本:

http://67.229.144.218:8888/ver.txt

6

目前最高版本是1.0.0.3。

从目前获取到的样本中,找到了1.0.0.2和1.0.0.3两个版本的样本。

7

从公开的一些信息分析,1.0.0.2版本实际运用在服务器入侵中(http://www.52pojie.cn/thread-602899-1-1.html),而1.0.0.3版本还没跟踪到实际案例。

 

备注:Mirai样本由于经过的较强的加密和混淆,分析起来有点困难,未能分析1.0.0.2和1.0.0.3版本之间的功能区别。仅通过执行观察网络数据,会产生大量的对外网的扫描信息。东巽科技对此仍将继续保持关注。

8

文章选自微信公众号: 2046Lab   东巽科技

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

相关文章

发表评论

电子邮件地址不会被公开。