蜜罐揭秘真实的Mirai僵尸网络

*本文原创作者:泰格实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载

关于Mirai文章已经很多,基本都是基于Mirai公开源码的解读,或者相关 DDOS 事件的分析。我们决定使出洪荒之力,通过构建针对性蜜罐系统,主动探测揭秘当前互联网上真实隐藏着的Mirai僵尸网络。

1、僵尸网络探测系统

基于Mirai感染逻辑,我们研发了一套针对性的Mirai僵尸网络探测系统。下边简单介绍一下Mirai 的组成部分。

—-ScanListen模块:主要用于接收Bot弱口令扫描得到的设备信息,包括:ip 、端口、用户名、密码。并将其发送给 Load处理。 —-Load模块:接收ScanListen发送的目标信息,并针对每个设备植入木马。 —-CNC模块:主要用于管理Bot,发起DDOS攻击。 —-Bot模块:运行于网络设备,主要实现网络设备telnet弱口令扫描,同时接收CNC 控制指令对目标发动 DDOS攻击。

Mirai的感染逻辑是:ScanListen在接受到Bot 的扫描结果信息后,未对信息发送方进行身份验证,直接把结果传递给 Load,然后 Load直接对结果中的目标植入木马。示意图如下:

Mirai的感染逻辑

我们通过伪造扫描结果信息,把蜜罐系统地址信息与登陆口令发送给疑似ScanListen,如果命中真实ScanListen ,则相应的 Load服务器会对蜜罐系统植入Mirai木马,木马运行后与相应的CNC 服务器建立连接。示意图如下:

Mirai僵尸网络探测系统

疑似ScanListen的IP获取方法:在全球范围内,扫描端口 48101 打开的服务器 IP。

真实ScanListe命中确认方法:通过构造大量包极其复杂用户名与密码,在一定时间段内,保证针对一个疑似ScanListen 发送一个唯一的用户名密码。

通过监控与蜜罐系统建立telnet连接时使用的用户名与密码,即可确定哪个疑似ScanListen是真实的 ScanListen。

2、ScanListen服务器全球分布

通过近3个月的主动探测分析,我们发现有1874个 ScanListen 服务器,分布于全球34个国家或地区。

该地图中颜色越深,代表分布数量越多,可以看出分布数量最大的几个国家有中国大陆、美国、比利时、荷兰、法国、西班牙、俄罗斯等。

3、ScanListen服务器中国大陆分布

在中国大陆,共发现422个,主要分布山东、上海、河南、浙江、辽宁等省份或者直辖市。

4、BOT全球分布

我们对部分ScanListen接收到的BOT信息进行了统计,发现近 87 万台BOT历史记录信息,分布于202个国家或地区。主要分布于中国、俄罗斯、印度、巴西、越南、伊朗、巴基斯坦、意大利、日本、土耳其、美国等国。

5、BOT中国大陆分布

6、BOT扫描分析

通过蜜罐系统捕获到的Bot扫描使用的弱口令,发现已经累计增加到86条。Mirai原Bot扫描利用弱口令为60个,如下图所示:

ID

用户名

密码

ID

用户名

密码

ID

用户名

密码

1

666666

666666

21

mother

fucker

41

root

hi3518

2

888888

888888

22

root

vizxv

42

root

user

3

admin

admin

23

root

xc3511

43

root

dreambox

4

admin

1234

24

root

root

44

root

klv123

5

admin

password

25

root

admin

45

root

0

6

admin

7ujMko0admin

26

root

default

46

root

7ujMko0admin

7

admin

smcadmin

27

root

123456

47

root

7ujMko0vizxv

8

admin

admin1234

28

root

Zte521

48

root

system

9

admin

1111

29

root

juantech

49

root

ikwb

10

admin

123456

30

root

anko

50

root

klv1234

11

admin

12345

31

root

12345

51

root

realtek

12

admin

54321

32

root

xmhdipc

52

root

zlxx

13

admin

4321

33

root

54321

53

supervisor

supervisor

14

admin

1111111

34

root

888888

54

support

support

15

admin

pass

35

root

1234

55

tech

tech

16

admin

meinsm

36

root

password

56

ubnt

ubnt

17

admin1

password

37

root

1111

57

user

user

18

administrator

1234

38

root

pass

58

Administrator

admin

19

guest

12345

39

root

666666

59

admin

20

guest

guest

40

root

jvbzd

60

root

最新Bot新增扫描弱口令26条,详细信息如下图所示:

ID

用户名

密码

ID

用户名

密码

ID

用户名

密码

1

admin

cat1029

10

default

antslq

19

root

telnet

2

admin

ZmqVfoSIP

11

guest

admin

20

root

grouter

3

admin

888888

12

netgear

netgear

21

root

oelinux123

4

admin

guest

13

realtek

realtek

22

root

88888888

5

admin

666666

14

root

1001chin

23

service

service

6

Admin

111111

15

root

cat1029

24

system

system

7

admin

oelinux123

16

root

tl789

25

telnet

telnet

8

Administrator

meinsm

17

root

GM8182

26

user

qweasdzx

9

adminlvjh

adminlvjh123

18

root

hunt5759

7、悟语

通过对ScanListen与Bot分布的分析,Bot 主要分布于发展中国家,侧面反映出发展中国家网络安全防御能力普遍较弱。

我国经济发展较强省份或地区在网络安全防御能力方面没有形成明显优势,让我想起某安全人士所说的一句话:中国一流的网络规模却只有四流网络安全防御能力。

我们于此事件中就可管中窥豹可见一斑,我国作为世界上拥有最多网民的国家,提高国家网络安全防御能力已经刻不容缓!

*本文原创作者:泰格实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-01-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

赛门铁克发现朝鲜APT组织Lazarus攻击金融机构的关键性工具

10月2日,美国国土安全部(DHS)下属的US-CERT发表了一则针对朝鲜APT组织Lazarus(Hidden Cobra)的技术性预警公告,公告指出,在DH...

851
来自专栏ChaMd5安全团队

永恒之石,你怕了吗?

永恒之石,你怕了吗? From ChaMd5安全团队核心成员 逍遥自在 这个五月,我们经历了感染了7万5千台电脑的WannaCry,没有了紧急开关的 Wanna...

3658
来自专栏CSDN技术头条

全球WannaCry勒索病毒爆发背后的技术漏洞

5月12日晚,新型“蠕虫式”勒索病毒软件 WannaCry 在全球爆发,攻击各国政府,学校,医院等网络。我国众多行业大规模受到感染,其中教育网受损最为严重,攻击...

2715
来自专栏云鼎实验室的专栏

比特币勒索病毒肆虐,腾讯云安全专家给你支招

5月12日晚, WannaCry 蠕虫病毒在全球大肆爆发。据BBC、CNN等媒体报道,恶意攻击者利用 NSA(美国国家安全局)泄露的 Windows 0day ...

6179
来自专栏峰会SaaS大佬云集

因为看见,所以发现:QBotVariant谢绝落幕

互联网给人带来便捷的同时,其公开大量的资源也同样给恶意利用者带了便捷,越来越多公开的恶意程序源码降低了对外攻击、入侵的难度,使得安全问题愈加严重。

1061
来自专栏云鼎实验室的专栏

安全报告 | SSH 暴力破解趋势:从云平台向物联网设备迁移

3515
来自专栏云基础安全

主机安全防护:腾讯云云镜产品

腾讯云云镜是基于AI算法的轻量化主机安全软件,帮助用户解决木马感染(勒索,被篡改),被入侵(挖矿,数据窃取),漏洞,登陆密码爆破等主机安全问题。了解云镜: ht...

6800
来自专栏北京马哥教育

Linux恶意软件简史

? ——那些年困扰Linux的蠕虫、病毒和木马 虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍,但是近些年来,Linux面临的安全威...

4667
来自专栏西枫里博客

关于ICP备案你所不了解的那些事

原打算这篇文章是写成正常的网站备案指导步骤的,在写的过程中,我发现其实各大IDC厂商的的帮助信息都已经非常明确具体了,甚至细分到每个省区有不同的细则都标识的很清...

5643
来自专栏安恒信息

HT工具泄露 安恒APT产品无需升级即可检测

  近日,一家以协助政府监视公民而“闻名于世”的意大利公司Hacking Team数据失窃。攻击者窃取了Hacking Team超过400GB的数据并公布于网络...

3198

扫码关注云+社区

领取腾讯云代金券