东巽科技:Mirai木马“借道”新浪博客攻击windows服务器
一、Mirai木马介绍
Mirai 软件能够感染各类存在漏洞的物联网设备,其中包括安保摄像头、DVR 以及互联网路由器等,通过恶意感染,这些物联网装置将成为僵尸网络中的肉鸡设备,并被用于实施大规模 DDoS 攻击。
2016 年 10 月 21 日 11:10 UTC( 北京时间 19:10 左右 ) ,一场大规模的互联网瘫痪席卷了美国,恶意软件 Mirai 控制的僵尸网络对美国域名服务器管理服务供应商 Dyn 发起 DDOS 攻击,从而导致许多网站在美国东海岸地区宕机。
作为盈利性的僵尸网络,Mirai有admin和普通user两种用户角色,admin是僵尸网络管理员,admin把僵尸网络售卖给普通user,并根据购买的bot数量定价,这些都可以从C&C代码里得出,而且数据库里有个last_paid时间戳字段,即上次支付时间,每个普通user有自己的登录僵尸的密码,admin管理员通过命令adduser分配普通用户信息并记录到数据库。
Mirai源码已经被披露并被放到Github上,导致Mirai的变种越来越多,由此产生的攻击事件也越来越频繁。
二、Mirai木马事件跟踪
在最近的一次样本分析中,东巽科技发现了几例针对Windows服务器进行攻击的Mirai样本,且使用了隐蔽隧道、文件隐写等技术手段。
2.1 利用sina获取IP
东巽科技发现在执行样本之后,会主动请求一个新浪blog地址,从该页面获取一串事先编辑好的加密字符,解密后为一个IP地址。
URL | http://blog.sina.com.cn/s/blog_16fb721c50102x6hx.html |
页面截图:
通过blog的主页,http://blog.sina.com.cn/u/6169240005,可以看到还有一个相同内容的blog,编写日期都是2017年3月8日。
wpd地址为1.0.0.2版本使用。其中关键的串:AAEYBAQPGAcCAhgEBw4=,解密后为
67.229.144.218 | 美国 |
2.2 利用图片隐写内嵌木马
木马获取的IP地址后,会连接到http://67.229.144.218:8888/update.txt进行其他文件的篡改。
其中http://67.229.144.218:8888/ps.jpg下载后为图片格式,
利用WinHex工具查看,可以查找到明显的PE结构隐藏在该图片中。
提取出PE文件后,分析得是Mirai木马。
将Mirai目前隐藏在图片文件中的目的,应该是绕过一些安全设备会识别HTTP流中可还原的PE文件,逃避分析或报警。
2.3 版本更新
样本后续会判断下载释放出来的Mirai木马否是最新版本,通过以下地址获取到最高版本:
http://67.229.144.218:8888/ver.txt
目前最高版本是1.0.0.3。
从目前获取到的样本中,找到了1.0.0.2和1.0.0.3两个版本的样本。
从公开的一些信息分析,1.0.0.2版本实际运用在服务器入侵中(http://www.52pojie.cn/thread-602899-1-1.html),而1.0.0.3版本还没跟踪到实际案例。
备注:Mirai样本由于经过的较强的加密和混淆,分析起来有点困难,未能分析1.0.0.2和1.0.0.3版本之间的功能区别。仅通过执行观察网络数据,会产生大量的对外网的扫描信息。东巽科技对此仍将继续保持关注。
文章选自微信公众号: 2046Lab 东巽科技