吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8840|回复: 24
收起左侧

[PC样本分析] 一个基于Mirai的僵尸网络分析

[复制链接]
Hcho 发表于 2021-11-2 17:02
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
突然发现已经好久没有写过分享贴了,正好闲着了就发个最近的样本吧。
c8ea15ce36d3d5392b11fa2ddfe1f157342ab09a.png


样本信息
    0.png



木马概述
    此样本为arm架构样本,分析此样本中大量复用Mirai僵尸网络的代码,无漏洞利用代码,除了Mirai僵尸网络代码还存在DemonBot僵尸网络STD攻击特征。




木马执行细节
获取C2地址
    样本尝试连接恶意域名,如果域名接收数据失败则将C2设置为IP地址:
    1.png
修改进程名为随机字符串
    2.png
初始化攻击代码
    样本在 " attack_init" 的函数中初始化各个攻击代码的函数,同Mirai的泄露源码:
    3.png
禁用watchdog
    4.png
    5.png
劫持端口进行独占
    通过 "ensure_single_instance" 函数劫持端口,防止其他僵尸网络获取控制权限,同Mirai的泄露源码:
    6.png
telnet爆破
    发送TCP包尝试连接随机IP的23或2323端口的 telnet 服务,与Mirai泄露源码中的SYN扫描模块一致:
    7.png
    8.png
    通过内置的字典进行爆破:
    9.png
    10.png
    如果爆破成功则将相关信息发送给收集telnet嗅探信息的C2:
    11.png
连接C2接收攻击指令
    12.png
攻击指令总结
    截图20211102160514730.jpg
    截图20211102160538066.jpg



僵尸网络关联
    此样本与Mirai僵尸网络的代码存在高度相似性,其中存在DemonBot僵尸网络STD攻击使用的固定负载,怀疑是DemonBot僵尸网络的变种:
    14.png



IOCs

    bots1.firewalla1337.cc
    scan1.firewalla1337.cc
    107.189.1.185:23

免费评分

参与人数 9威望 +2 吾爱币 +106 热心值 +8 收起 理由
haifeng001 + 1 + 1 我很赞同!
TianXiaYu + 1 + 1 用心讨论,共获提升!
xuancang + 1 用心讨论,共获提升!
duwangsky + 1 谢谢@Thanks!
makishiro + 1 我很赞同!
Zhashutiao + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
fengbolee + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
gaosld + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Hmily + 2 + 100 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

myword 发表于 2024-4-6 22:34
想问一下楼主如果仅用wireshark分析流量可以分析出mirai样本的C2服务器IP地址和端口号吗?如果可以的话应该怎么开展分析呢?
youkan_pj 发表于 2021-12-28 16:57
飞龙project 发表于 2021-11-3 20:44
这个mirai是qq机器人的那个mirai?

我也很好奇,我猜应该不是,不然应该会引起一些轰动的
飞龙project 发表于 2021-11-3 20:44
meloe 发表于 2021-11-3 22:30
感谢分享。。。。
mqt426 发表于 2021-11-4 10:35
好东西,先谢楼主
tbad2000 发表于 2021-11-7 21:50
GANXGANX=感谢分享。。
xy0225 发表于 2021-11-7 22:25
学习,谢谢分享
wyd521 发表于 2021-11-8 17:51
学到了,谢谢大佬!
DawnZii 发表于 2021-11-9 10:53
感谢分享。。。。
d3d 发表于 2021-11-10 10:00
可以的,改天把字典弄出来
GeekPwn 发表于 2021-11-13 16:36
感谢,有用,已收藏
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 11:58

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表