一、Mirai木马介绍

Mirai 软件能够感染各类存在漏洞的物联网设备，其中包括安保摄像头、DVR 以及互联网路由器等，通过恶意感染，这些物联网装置将成为僵尸网络中的肉鸡设备，并被用于实施大规模 DDoS 攻击。

2016 年 10 月 21 日 11:10 UTC( 北京时间 19:10 左右 ) ，一场大规模的互联网瘫痪席卷了美国，恶意软件 Mirai 控制的僵尸网络对美国域名服务器管理服务供应商 Dyn 发起 DDOS 攻击，从而导致许多网站在美国东海岸地区宕机。

作为盈利性的僵尸网络，Mirai有admin和普通user两种用户角色，admin是僵尸网络管理员，admin把僵尸网络售卖给普通user，并根据购买的bot数量定价，这些都可以从C&C代码里得出，而且数据库里有个last_paid时间戳字段，即上次支付时间，每个普通user有自己的登录僵尸的密码，admin管理员通过命令adduser分配普通用户信息并记录到数据库。

Mirai源码已经被披露并被放到Github上，导致Mirai的变种越来越多，由此产生的攻击事件也越来越频繁。

 

二、Mirai木马事件跟踪

在最近的一次样本分析中，东巽科技发现了几例针对Windows服务器进行攻击的Mirai样本，且使用了隐蔽隧道、文件隐写等技术手段。

2.1 利用sina获取IP

东巽科技发现在执行样本之后，会主动请求一个新浪blog地址，从该页面获取一串事先编辑好的加密字符，解密后为一个IP地址。

URL	http://blog.sina.com.cn/s/blog_16fb721c50102x6hx.html

页面截图：

通过blog的主页，http://blog.sina.com.cn/u/6169240005，可以看到还有一个相同内容的blog，编写日期都是2017年3月8日。

wpd地址为1.0.0.2版本使用。其中关键的串：AAEYBAQPGAcCAhgEBw4=，解密后为

67.229.144.218

美国

2.2 利用图片隐写内嵌木马

木马获取的IP地址后，会连接到http://67.229.144.218:8888/update.txt进行其他文件的篡改。

其中http://67.229.144.218:8888/ps.jpg下载后为图片格式，

利用WinHex工具查看，可以查找到明显的PE结构隐藏在该图片中。

提取出PE文件后，分析得是Mirai木马。

将Mirai目前隐藏在图片文件中的目的，应该是绕过一些安全设备会识别HTTP流中可还原的PE文件，逃避分析或报警。

2.3 版本更新

样本后续会判断下载释放出来的Mirai木马否是最新版本，通过以下地址获取到最高版本：

http://67.229.144.218:8888/ver.txt

目前最高版本是1.0.0.3。

从目前获取到的样本中，找到了1.0.0.2和1.0.0.3两个版本的样本。

从公开的一些信息分析，1.0.0.2版本实际运用在服务器入侵中（http://www.52pojie.cn/thread-602899-1-1.html），而1.0.0.3版本还没跟踪到实际案例。

 

备注：Mirai样本由于经过的较强的加密和混淆，分析起来有点困难，未能分析1.0.0.2和1.0.0.3版本之间的功能区别。仅通过执行观察网络数据，会产生大量的对外网的扫描信息。东巽科技对此仍将继续保持关注。

文章选自微信公众号： 2046Lab   东巽科技

本文由 华盟网 作者：AlexFrankly 发表，其版权均为 华盟网 所有，文章内容系作者个人观点，不代表 华盟网 对观点赞同或支持。如需转载，请注明文章来源。