首页 >> 网络安全 >>病毒分析 >> 保持隐藏的身份:在Tor网络中的Mirai C&Cs
详细内容

保持隐藏的身份:在Tor网络中的Mirai C&Cs

网络威胁研究团队Makoto Shimamura

由于其作为最活跃的物联网(IoT)恶意软件系列之一而臭名昭着,Mirai是一个恶意软件家族系统管理员,始终密切关注以确保系统和设备受到保护。尽管恶意软件已经收到了所有关注,但似乎网络犯罪分子仍在不断开发和使用这种恶意软件。


自从发现新的Miori变种以来仅仅一个月,我们通过我们的研究发现了另一个新的Mirai样本。与以前的Mirai变种一样,它允许攻击者通过IP摄像头和DVR等物联网设备中的暴露端口和默认凭据进行远程访问和控制,并允许攻击者通过各种方法(如用户)使用受感染设备进行分布式拒绝服务(DDoS)攻击数据报协议(UDP)泛洪攻击。然而,与之前的变体相比,我们发现这个样本不同,因为网络犯罪分子放置了命令和控制(C&C)服务器在Tor网络中匿名。这可能是物联网恶意软件开发人员的一个发展趋势,因为表面网络中的恶意行为者的C&C服务器可以被报告并被删除 - 这是网络安全研究人员,企业和用户都可能不得不开始防御的一种趋势。


Socks5协议和配置

虽然Mirai变体通常有一到四个C&C服务器,但样本中有30个硬编码的IP地址。我们在封闭的沙盒环境中查看了它与服务器之间的通信。执行我们的样本,它发送了一个特定的序列“05 01 00”,一个socks5协议初始握手消息。接下来,我们将消息发送到服务器,并从大多数地址获得socks5响应“05 00”,确认它们是Tor网络的袜子代理。这也是使用Shodan扫描检查的,因为搜索结果显示服务器上运行的是socks代理。

1.png

图1.显示袜子代理的Shodan扫描搜索结果示例。

进一步分析显示恶意软件从列表中选择随机服务器作为代理,开始与socks5的连接并查询它以将数据包中继到地址为nd3rwzslqhxibkl7 [。]洋葱:1356的C&C服务器。如果无法建立中继连接,它将使用另一个代理服务器尝试该过程。在测试环境中使用Tor代理连接到C&C,我们确认了这一点,因为它返回了攻击者的登录提示,与之前的Mirai变体返回的其他C&C服务器完全相同。


与其他Mirai变体类似,配置值由XOR加密,带有0x22(34)并嵌入其二进制文件中。在解密时,我们还发现了一个有趣的字符串“ LONGNOSE:applet not found”,可用于识别此变体的名称。

2.jpg

感染,传播和DDoS命令

我们使用TCP端口9527和34567扫描了随机IP地址的样本,这些可能特定于暴露的IP摄像机和用于远程访问和控制的DVR。其配置还包括可用于感染其他主机的可能默认凭据。

3.png

图2.示例发送到端口9527的命令

4.png

图3.样本发送到端口34567的信息

分析样本使用的通信协议,除了使用socks5连接之外,我们发现它是以前Mirai变体协议的典型。我们还确定了一个字节序列,表示通过对特定IP地址的UDP泛洪攻击从C&C服务器发送的DDoS命令。

5.png

图4.来自C&C服务器的可能DDoS命令的解密版本

相关样本

在其他地方查找相关样本和信息以进行比较,其他开放源如VirusTotal从同一URL源生成相同哈希值的报告,该源是一个开放目录,也托管其他设备体系结构的其他样本。报告中的其他详细信息还显示了另一个分发服

6.png

图5.在分发服务器上打开目录

结论

我们发现这个特定的示例对于攻击者决定将C&C服务器置于Tor中很有意思,可能会逃避跟踪其IP地址并避免在向域主机报告时关闭。这让人联想起2017年报道的恶意软件,名为BrickerBot,这是一种托管Tor的恶意软件,具有类似Mirai的技术。然而,BrickerBot是最先实施的鞭打或永久拒绝服务(PDoS)的实例之一,这是为了防止物联网设备被Mirai感染,随后在损坏超过1000万台设备后停止使用。


虽然之前有报道称其他恶意软件将其C&C隐藏在Tor中,但我们认为这是其他不断发展的IoT恶意软件系列的可能先例。由于Tor的可用环境,服务器保持匿名,因此使恶意软件创建者和/或C&C所有者无法识别。同样,服务器仍然在运行,尽管发现,网络流量可伪装成合法并保持加密,并且由于Tor的其他可能的合法用途,它可能不一定被列入黑名单。


另一个分发服务器和为其他设备体系结构设计的其他样本的存在可能意味着这些恶意行为者打算以更大的规模应用此操作。但是,具有签名和基于行为的机制的检测系统仍然可以检测并阻止这些恶意软件入侵。


建议用户和企业使用最新补丁更新其网络系统和设备,并使用复杂密码更改默认凭据并应用多个身份验证系统以防止未经授权的访问。最后,避免连接到可信周界之外的不安全网络,以限制通过开放和公共可用网络入侵的可能性。


趋势科技解决方案

趋势科技  智能家居网络  提供嵌入式网络安全解决方案,可保护连接到家庭网络的所有设备免受网络攻击。趋势科技智能家居网络基于趋势科技丰富的威胁研究经验和业界领先的深度包检测(DPI)技术,可提供智能服务质量(iQoS),家长控制,网络安全等。


趋势科技 ™  威胁发现 ™通过专用引擎,自定义沙盒以及整个攻击生命周期内的无缝关联,使用攻击和类似威胁对攻击进行检测,深入分析和主动响应  ,从而使其能够检测到这些类型的攻击没有引擎或模式更新。这些解决方案由XGen™安全解决方案提供支持,该安全解决方案  针对数据中心,  云环境,  网络和  端点的各种威胁提供跨代混合的威胁防御技术 。智能,优化和连接,XGen为趋势科技的安全解决方案套件提供支持:混合云安全,用户保护和网络防御。

技术支持: 建站ABC | 管理登录