吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8895|回复: 24
上一主题 下一主题
收起左侧

[PC样本分析] 一个基于Mirai的僵尸网络分析

[复制链接]
跳转到指定楼层
楼主
Hcho 发表于 2021-11-2 17:02 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
突然发现已经好久没有写过分享贴了,正好闲着了就发个最近的样本吧。



样本信息
   



木马概述
    此样本为arm架构样本,分析此样本中大量复用Mirai僵尸网络的代码,无漏洞利用代码,除了Mirai僵尸网络代码还存在DemonBot僵尸网络STD攻击特征。




木马执行细节
获取C2地址
    样本尝试连接恶意域名,如果域名接收数据失败则将C2设置为IP地址:
   
修改进程名为随机字符串
   
初始化攻击代码
    样本在 " attack_init" 的函数中初始化各个攻击代码的函数,同Mirai的泄露源码:
   
禁用watchdog
   
   
劫持端口进行独占
    通过 "ensure_single_instance" 函数劫持端口,防止其他僵尸网络获取控制权限,同Mirai的泄露源码:
   
telnet爆破
    发送TCP包尝试连接随机IP的23或2323端口的 telnet 服务,与Mirai泄露源码中的SYN扫描模块一致:
   
   
    通过内置的字典进行爆破:
   
   
    如果爆破成功则将相关信息发送给收集telnet嗅探信息的C2:
   
连接C2接收攻击指令
   
攻击指令总结
   
   



僵尸网络关联
    此样本与Mirai僵尸网络的代码存在高度相似性,其中存在DemonBot僵尸网络STD攻击使用的固定负载,怀疑是DemonBot僵尸网络的变种:
   



IOCs

    bots1.firewalla1337.cc
    scan1.firewalla1337.cc
    107.189.1.185:23

免费评分

参与人数 9威望 +2 吾爱币 +106 热心值 +8 收起 理由
haifeng001 + 1 + 1 我很赞同!
TianXiaYu + 1 + 1 用心讨论,共获提升!
xuancang + 1 用心讨论,共获提升!
duwangsky + 1 谢谢@Thanks!
makishiro + 1 我很赞同!
Zhashutiao + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
fengbolee + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
gaosld + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Hmily + 2 + 100 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
myword 发表于 2024-4-6 22:34
想问一下楼主如果仅用wireshark分析流量可以分析出mirai样本的C2服务器IP地址和端口号吗?如果可以的话应该怎么开展分析呢?
推荐
youkan_pj 发表于 2021-12-28 16:57
飞龙project 发表于 2021-11-3 20:44
这个mirai是qq机器人的那个mirai?

我也很好奇,我猜应该不是,不然应该会引起一些轰动的
沙发
飞龙project 发表于 2021-11-3 20:44
3#
meloe 发表于 2021-11-3 22:30
感谢分享。。。。
4#
mqt426 发表于 2021-11-4 10:35
好东西,先谢楼主
5#
tbad2000 发表于 2021-11-7 21:50
GANXGANX=感谢分享。。
6#
xy0225 发表于 2021-11-7 22:25
学习,谢谢分享
7#
wyd521 发表于 2021-11-8 17:51
学到了,谢谢大佬!
8#
DawnZii 发表于 2021-11-9 10:53
感谢分享。。。。
9#
d3d 发表于 2021-11-10 10:00
可以的,改天把字典弄出来
10#
GeekPwn 发表于 2021-11-13 16:36
感谢,有用,已收藏
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 05:09

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表