​Mirai 变种运用特别协定与C2通讯 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

​Mirai 变种运用特别协定与C2通讯

申博_新闻事件 申博 38次浏览 已收录 0个评论

Miori是2018年研究人员发明的Mirai变种,经由历程ThinkPHP长途代码实行破绽举行流传。近日,研究人员发明Miori变种再次涌现,而且与C2效劳器通讯的体式格局有明显差别。该Miori变种没有运用罕见的基于二进制的协定,而是运用基于文本的协定来与C2效劳器举行通讯。

Miori的奇特协定

典范的Mirai变种都是运用基于二进制的协定与C2效劳器举行通讯。在该场景中,C2效劳器会展现一个登录框请求进入进击者运用的console。C2效劳器假定一切衔接到C2效劳器的用户都是尝试接见console的进击者,所以登录框中请求输入用户名和暗码,如图1所示。

​Mirai 变种运用特别协定与C2通讯

图1. Mirai C2登录弹窗

对该新的Miori变种一样的。当尝试衔接到C2效劳器时,会看到如图2所示的音讯并完毕衔接,而不是罕见的登录弹窗。

​Mirai 变种运用特别协定与C2通讯

图2. 尝试衔接到C2 console时展现的音讯

研究人员剖析了歹意软件运用的协定,发明它是基于文本的。其C2在许可接见console之前应该吸收特定的字符串。假如没有收到字符串,就展现上面的音讯。

研究人员发明它运用图3所示的协定来吸收加密的敕令,这在之前的变种中是没有涌现过的。在守候敕令的时刻,它会同时扫描有破绽的telnet主机来举行流传。

​Mirai 变种运用特别协定与C2通讯

图3. Miori变种运用的协定

图4. 用来与C2效劳器通讯的歹意代码截图

歹意软件变种会运用一种简朴替代的要领举行加密,替代表硬编码在歹意软件代码中用于解密。

​Mirai 变种运用特别协定与C2通讯

图5. 歹意软件代码中用于替代的表

进一步剖析发明了加密的进击敕令。如图6所示,相似的字符串示意经由历程C2效劳器发送给歹意软件变种的进击敕令。在图中,字符串表明实行UDP洪泛进击的敕令。研究人员假定进击者运用该敕令来指定目标IP、端口、时候和包大小。

​Mirai 变种运用特别协定与C2通讯

图6. 剖析历程当中运用的样本进击敕令

提取字符串方法在恶意软件分析中的应用

目前逆向工程师、安全分析人员和事件响应人员在分析恶意软件二进制文件时,已经拥有了大量成熟的工具。在进行恶意软件分析时,为了逐步收集有关二进制文件功能的线索,设计对应的检测方法,并确定最终的环境措施,他们会相继应用这些工具。最常用的初始步骤便是通过字符串程序检查它的可打印字符。如果二进制文件执行诸如打印错误消息、连接到URL、创建注册表项或将文件复制到特定位置等操作,那么它通常会包含一些有助于未来分析的字符串。 注

除了样本敕令外,研究人员还发明了TCP洪泛进击、进击停止和历程中断的敕令。

与其他Mirai变种的相似性

个中一个相似性是运用XOR来加密设置数据和用于歹意软件暴力破解的telnet/ssh凭据。

但设置数据是离开的,而且离别保留。个中一些运用的解码要领并没有在之前的Mirai变种中涌现过。

研究人员没有在设置数据中找到字符串<name of variant>: applet not found,这是Mirai变种的一个辨认符。这也表明该进击运动背地的犯罪分子在不断地移除Mirai进击的标识符来疑惑平安研究人员。该字符串之前被普遍用于考证变种的胜利感染,但是在该变种中,胜利感染是经由历程差别的设置数据来辨认的,如下图所示。

图7. 用来确认感染胜利的echo敕令和输出效果

增殖和流传

前面提到该Miori变种能够扫描有破绽的telnet主机,并发送IP地点和账号信息给C2效劳器。与初期Mirai变种相似,歹意软件会在有破绽的主机上发送和实行歹意剧本。

研究人员在实行主机的架构中发明了用来流传歹意软件的歹意剧本。运转历程当中会指定参数,因而能够掌握进击。

图8. 在有破绽的telnet主机上流传歹意软件的歹意剧本

贩卖市场上的源码

经由历程搜检样本中的字符串,研究人员发明了含有贩卖歹意软件源代码的URL链接的音讯。搜检网站发明源码出卖的价钱为110美圆。

​Mirai 变种运用特别协定与C2通讯

图9. 出卖源码的网站

该网站是经由历程正当的电子商务效劳Selly来构建的。但这也多是一个子虚页面,就是说买家付钱后,并不一定会收到源代码。

总结和平安提议

Mirai歹意软件家属能够看做是最初的IoT歹意软件。它推动了进击者开辟差别变种的效果。在该案例中,设置数据的协定和存储要领中的变化表明Miori不仅仅是一个新的Mirai变种,还让Mirai变种变得越发难以检测和剖析。

除此之外,歹意软件的途径与典范Mirai变种是一致的,感染有破绽的IoT装备,用这些IoT装备作为平台来提议DDOS进击。这些差别点表明要延续关于将来IoT歹意软件的生长。

用户能够经由历程补丁和平安更新来尽量减小歹意软件带来的影响。由于歹意软件是典范的Mirai变种,因而要确保修正默许凭据来削减未受权接见和暴力破解进击的胜利率。将装备安排在平安域也能够防备物理进击和修正。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/new-miori-variant-uses-unique-protocol-to-communicate-with-cc/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明​Mirai 变种运用特别协定与C2通讯
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址