Mirai变种将C2隐藏在Tor收集中 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Mirai变种将C2隐藏在Tor收集中

申博_新闻事件 申博 28次浏览 已收录 0个评论

Mirai是最著名的IoT歹意软件之一,近期研讨表明犯罪分子仍在不停开辟和运用该歹意软件。

在发明Mirai变种Miori以后一个月,研讨人员又发明一个新的Mirai样本。与之前的Mirai变种相似,它许可进击者经由过程暴露的端口和IoT装备中的默许凭据来长途接见和掌握,进击者能够用受感染的装备经由过程UDP洪泛等体式格局提议DDOS进击。与之前的变种比拟,研讨人员发明该样本将C2服务器隐藏在Tor收集中完成匿名化。将歹意C2服务器隐藏在没法报告和下线的暗网中逐步成为IOT歹意软件的一种趋向,收集安全研讨人员、企业和用户须要小心这一趋向并动手应对。

Socks5协媾和设置

平常的Mirai变种又1~4个C2服务器,本变种样本中又30个硬编码的IP地点。研讨人员在沙箱环境中剖析了歹意软件样本与服务器之间的通讯。经由过程实行样本,样本会发送一个socks5协定初始握手音讯——一个特定的序列05 01 00。然后研讨人员将该音讯发送到服务器并取得socs5相应05 00,确认这是到Tor收集的socks代办。Shodan扫描效果也表明有socks代办运行在服务器上。

Mirai变种将C2隐藏在Tor收集中 图1. Shodan扫描效果也表明有socks代办运行在服务器上

进一步剖析表明歹意软件会从代办列表中随机挑选一个服务器,以含有socks5的衔接来讲,并查询来完成到C2服务器地点nd3rwzslqhxibkl7[.]onion:1356的包中继。假如中继衔接竖立失利,就会尝试用另一个代办服务器处置惩罚。在测试环境中经由过程Tor代办衔接到C2服务器以后,研讨人员确认返回的是进击者的上岸提醒,与之前按Mirai变种返回的雷同。

与之前的Mirai变种相似,设置值是用XOR和0x22(34)加密的,并潜入在二进制文件中。解密后,研讨人员发明了能够辨认该变种名的字符串LONGNOSE: applet not found。

Mirai变种将C2隐藏在Tor收集中

感染、流传和DDOS敕令

研讨人员发明该样本会在TCP端口9527和34567来扫描随机的IP地点,这多是IP摄像机和DVR用来长途接见和掌握的端口。设置数据包含用来感染其他主机的默许凭据。

Mirai变种将C2隐藏在Tor收集中

你还在用“加了料”的系统还原工具么?

利用激活软件、系统盘等工具传播病毒和流氓软件已是屡见不鲜的一大乱象,由于此类工具通常都是装机后首先安装的软件,盘踞在上面的病毒和流氓软件便利用介入时机更早的优势各种作恶,捆绑安装、劫持首页甚至与安全软件进行对抗,令普通用户苦不堪言。 就在日前,火绒接到用户反馈,称使用U深度U盘启动盘制作工具还原系统之后,安装的火绒安全软件被删除。火绒工程师分析发现,该还原工具可调用病毒程序,根据不同系统环境还原系统时,对指定软件进行删除,并篡改IE浏览器首页。 此外,火绒工程师溯源分析,该还原工具早期版本中的病毒程序不仅可以直接执行删除第三方软件(包括火绒)和一些带有首页劫持功能的流氓软件等恶意行为,还会篡改浏览器首页配置、浏览器收藏夹以及推广其它软件。火绒工程师由此判

图2. 样本发往端口 9527的敕令

Mirai变种将C2隐藏在Tor收集中

图3. 样本发往端口34567的信息

经由过程剖析样本运用的通讯协定,研讨人员发明除了运用socks5衔接外,其他都是典范的Mirai变种协定。研讨人员还发明一个字节序列表明是来自C2服务器的DDOS敕令,针对特定IP地点提议UDP洪泛进击。

Mirai变种将C2隐藏在Tor收集中

图4. 解密的来自C2服务器的ddos敕令相干样本

经由过程查找相干的样本和信息,研讨人员发明了该开放源还保留了适用于其他装备架构的样本。

Mirai变种将C2隐藏在Tor收集中

图5. 分发服务器的开放目次

结论

该Mirai样本的最大特性就是将C2服务器安排在Tor收集中来绕过IP地点追踪并防备域名被拉黑。在2017年有一款歹意软件BrickerBot也运用了相似的手艺,BrickerBot在入侵IoT装备后会将装备变种,防备被Mirai感染,在感染1000万装备后作者宣告退出。

虽然之前也有报导称歹意软件开辟者将C2隐藏在Tor收集中,研讨人员这在将来的IoT歹意软件家属中会成为一种趋向。因为Tor收集的环境,服务器的匿名性,会让歹意软件创建者和C2服务器所有者没法追踪。而且收集流量能够伪装为正当运用,而且是加密的,因而难以被AV产物阻拦。

原文地点: https://www.4hou.com/info/news/19515.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Mirai变种将C2隐藏在Tor收集中
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址