一个基于Mirai的僵尸网络分析
突然发现已经好久没有写过分享贴了,正好闲着了就发个最近的样本吧。样本信息
木马概述
此样本为arm架构样本,分析此样本中大量复用Mirai僵尸网络的代码,无漏洞利用代码,除了Mirai僵尸网络代码还存在DemonBot僵尸网络STD攻击特征。
木马执行细节
获取C2地址
样本尝试连接恶意域名,如果域名接收数据失败则将C2设置为IP地址:
修改进程名为随机字符串
初始化攻击代码
样本在 " attack_init" 的函数中初始化各个攻击代码的函数,同Mirai的泄露源码:
禁用watchdog
劫持端口进行独占
通过 "ensure_single_instance" 函数劫持端口,防止其他僵尸网络获取控制权限,同Mirai的泄露源码:
telnet爆破
发送TCP包尝试连接随机IP的23或2323端口的 telnet 服务,与Mirai泄露源码中的SYN扫描模块一致:
通过内置的字典进行爆破:
如果爆破成功则将相关信息发送给收集telnet嗅探信息的C2:
连接C2接收攻击指令
攻击指令总结
僵尸网络关联
此样本与Mirai僵尸网络的代码存在高度相似性,其中存在DemonBot僵尸网络STD攻击使用的固定负载,怀疑是DemonBot僵尸网络的变种:
IOCs
bots1.firewalla1337.cc
scan1.firewalla1337.cc
107.189.1.185:23 想问一下楼主如果仅用wireshark分析流量可以分析出mirai样本的C2服务器IP地址和端口号吗?如果可以的话应该怎么开展分析呢? 飞龙project 发表于 2021-11-3 20:44
这个mirai是qq机器人的那个mirai?
我也很好奇,我猜应该不是,不然应该会引起一些轰动的 这个mirai是qq机器人的那个mirai? 感谢分享。。。。 好东西,先谢楼主 GANXGANX=感谢分享。。 学习,谢谢分享 学到了,谢谢大佬! 感谢分享。。。。 可以的,改天把字典弄出来 感谢,有用,已收藏