专栏首页FreeBuf蜜罐揭秘真实的Mirai僵尸网络

蜜罐揭秘真实的Mirai僵尸网络

*本文原创作者:泰格实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载

关于Mirai文章已经很多,基本都是基于Mirai公开源码的解读,或者相关 DDOS 事件的分析。我们决定使出洪荒之力,通过构建针对性蜜罐系统,主动探测揭秘当前互联网上真实隐藏着的Mirai僵尸网络。

1、僵尸网络探测系统

基于Mirai感染逻辑,我们研发了一套针对性的Mirai僵尸网络探测系统。下边简单介绍一下Mirai 的组成部分。

—-ScanListen模块:主要用于接收Bot弱口令扫描得到的设备信息,包括:ip 、端口、用户名、密码。并将其发送给 Load处理。 —-Load模块:接收ScanListen发送的目标信息,并针对每个设备植入木马。 —-CNC模块:主要用于管理Bot,发起DDOS攻击。 —-Bot模块:运行于网络设备,主要实现网络设备telnet弱口令扫描,同时接收CNC 控制指令对目标发动 DDOS攻击。

Mirai的感染逻辑是:ScanListen在接受到Bot 的扫描结果信息后,未对信息发送方进行身份验证,直接把结果传递给 Load,然后 Load直接对结果中的目标植入木马。示意图如下:

Mirai的感染逻辑

我们通过伪造扫描结果信息,把蜜罐系统地址信息与登陆口令发送给疑似ScanListen,如果命中真实ScanListen ,则相应的 Load服务器会对蜜罐系统植入Mirai木马,木马运行后与相应的CNC 服务器建立连接。示意图如下:

Mirai僵尸网络探测系统

疑似ScanListen的IP获取方法:在全球范围内,扫描端口 48101 打开的服务器 IP。

真实ScanListe命中确认方法:通过构造大量包极其复杂用户名与密码,在一定时间段内,保证针对一个疑似ScanListen 发送一个唯一的用户名密码。

通过监控与蜜罐系统建立telnet连接时使用的用户名与密码,即可确定哪个疑似ScanListen是真实的 ScanListen。

2、ScanListen服务器全球分布

通过近3个月的主动探测分析,我们发现有1874个 ScanListen 服务器,分布于全球34个国家或地区。

该地图中颜色越深,代表分布数量越多,可以看出分布数量最大的几个国家有中国大陆、美国、比利时、荷兰、法国、西班牙、俄罗斯等。

3、ScanListen服务器中国大陆分布

在中国大陆,共发现422个,主要分布山东、上海、河南、浙江、辽宁等省份或者直辖市。

4、BOT全球分布

我们对部分ScanListen接收到的BOT信息进行了统计,发现近 87 万台BOT历史记录信息,分布于202个国家或地区。主要分布于中国、俄罗斯、印度、巴西、越南、伊朗、巴基斯坦、意大利、日本、土耳其、美国等国。

5、BOT中国大陆分布

6、BOT扫描分析

通过蜜罐系统捕获到的Bot扫描使用的弱口令,发现已经累计增加到86条。Mirai原Bot扫描利用弱口令为60个,如下图所示:

ID

用户名

密码

ID

用户名

密码

ID

用户名

密码

1

666666

666666

21

mother

fucker

41

root

hi3518

2

888888

888888

22

root

vizxv

42

root

user

3

admin

admin

23

root

xc3511

43

root

dreambox

4

admin

1234

24

root

root

44

root

klv123

5

admin

password

25

root

admin

45

root

0

6

admin

7ujMko0admin

26

root

default

46

root

7ujMko0admin

7

admin

smcadmin

27

root

123456

47

root

7ujMko0vizxv

8

admin

admin1234

28

root

Zte521

48

root

system

9

admin

1111

29

root

juantech

49

root

ikwb

10

admin

123456

30

root

anko

50

root

klv1234

11

admin

12345

31

root

12345

51

root

realtek

12

admin

54321

32

root

xmhdipc

52

root

zlxx

13

admin

4321

33

root

54321

53

supervisor

supervisor

14

admin

1111111

34

root

888888

54

support

support

15

admin

pass

35

root

1234

55

tech

tech

16

admin

meinsm

36

root

password

56

ubnt

ubnt

17

admin1

password

37

root

1111

57

user

user

18

administrator

1234

38

root

pass

58

Administrator

admin

19

guest

12345

39

root

666666

59

admin

20

guest

guest

40

root

jvbzd

60

root

最新Bot新增扫描弱口令26条,详细信息如下图所示:

ID

用户名

密码

ID

用户名

密码

ID

用户名

密码

1

admin

cat1029

10

default

antslq

19

root

telnet

2

admin

ZmqVfoSIP

11

guest

admin

20

root

grouter

3

admin

888888

12

netgear

netgear

21

root

oelinux123

4

admin

guest

13

realtek

realtek

22

root

88888888

5

admin

666666

14

root

1001chin

23

service

service

6

Admin

111111

15

root

cat1029

24

system

system

7

admin

oelinux123

16

root

tl789

25

telnet

telnet

8

Administrator

meinsm

17

root

GM8182

26

user

qweasdzx

9

adminlvjh

adminlvjh123

18

root

hunt5759

7、悟语

通过对ScanListen与Bot分布的分析,Bot 主要分布于发展中国家,侧面反映出发展中国家网络安全防御能力普遍较弱。

我国经济发展较强省份或地区在网络安全防御能力方面没有形成明显优势,让我想起某安全人士所说的一句话:中国一流的网络规模却只有四流网络安全防御能力。

我们于此事件中就可管中窥豹可见一斑,我国作为世界上拥有最多网民的国家,提高国家网络安全防御能力已经刻不容缓!

*本文原创作者:泰格实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf),作者:泰格实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-01-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 小师妹对IT服务安全的思考

    目前国内外并没有任何标准或文献对IT服务安全进行规范。因此我写这篇文章的目的一是分享我自己对服务安全的思考,二是想听听各位在IT服务项目上积累了多年实践经验的前...

    FB客服
  • 微软:暴力破解面前,增强密码复杂性基本没用

    我们都痛恨密码,然而不幸的是在当下及可以看见的未来里,账户登录等在线认证操作的主要方法还是需要使用密码的。密码认证有时确实比较烦人,尤其是一些网站为了密码安全性...

    FB客服
  • 安全报告 Gartner:2020年十大战略技术趋势(下篇)

    边缘计算描述了一种计算拓扑,在这种拓扑中,信息处理、内容收集和交付被放置在离源码、资源库以及使用者更近的位置。边缘计算借鉴了分布式处理的概念。它尝试将流量和进程...

    FB客服
  • 用js(JavaScript-jQuery)解析XML文件 无法成功 获得XML对象,字符串一些心得

    原文地址:https://www.cnblogs.com/DOMLX/p/7822962.html

    徐飞机
  • 什么是分布式架构?

    在大数据系统中,分布式系统已经成为一个无法避免的组件,如zookeeper已经成为了工业届的标准。所以对于大数据的研究,也必须要研究分布式系统的特点。

    用户5927304
  • Mac 上安装Jekyll生成静态网页

    当前文件夹中的内容将会生成到 ./_site 文件夹中,监测改变,并且自动再生成。

    剑行者
  • Spring Boot 快速入门系列(VII)—— 全局异常处理篇

    《Spring Boot 快速入门系列》上一节「接口规范篇」讲完了,小伙伴们是否已经掌握了基本的接口编写规范(后面会有一篇专门演示在线接口文档内容)。

    IT技术小咖
  • 大数据量分批执行封装

    在执行定时任务的时候,我们常常会有这样的需求,当数据量越来越大,可能你一次查询的数据就会导致内存溢出,所以我们后期往往又要再不断优化,比如分批处理,但分页以后代...

    老梁
  • 管道PSRO:一种在大型博弈中寻找近似纳什均衡的可扩展方法 (CS.GT)

    当信息状态数量较大时,在零和不完全信息博弈中寻找近似纳什均衡具有挑战性。策略空间响应Oracles (PSRO)是一种基于博弈论的深度强化学习算法,它保证收敛于...

    用户7236395
  • 快速学习-XML

    cwl_java

扫码关注云+社区

领取腾讯云代金券