网络安全学习笔记之Mirai僵尸网络

已于 2022-02-16 08:46:38 修改
阅读量1.1w 收藏 11
点赞数 1
分类专栏: 网络安全 文章标签: 网络 web安全 安全 物联网
于 2022-01-28 23:26:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dzcera/article/details/122729434
版权

最近在学习人工智能防治物联网设备的ddos攻击有关项目时接触到目前主流的IoT攻击模式,其中就包括Mirai僵尸网络。学习了《Understanding the Mirai Botnet》一文,原文链接如下
https://xueshu.baidu.com/usercenter/paper/show?paperid=ef4bd68424819b095fa8837b5fe58049
僵尸网络是互联网上的黑空集中控制一群计算机,是一种大规模的网络攻击方式。包括分布式拒绝服务攻击、海量垃圾邮件攻击等,对网络的安全运行有着严重的危害。事实上,被僵尸网络控哦只的僵尸主机往往并不知情,儿mirai僵尸网络就是通过控制连接物联网的应用设备来感染目标主机的一种僵尸网络,对物联网IoT的安全造成了极大的隐患。
2016年9月中旬,mirai僵尸网络出现并发起了大规模攻击,在同年10月21日造成美国境内部分网络中断,东部大面积网络瘫痪,其控制下数十万的物联网设备成为了断网事件的帮凶。

Mirai网络结构和攻击过程

在这里插入图片描述

①扫描阶段scan。已感染的bots(物联网设备)进行随机扫描,并发送TCP SYN探针到TELNET TCP22和TCP23上的伪随机IPv4地址。这些SYN是异步无状态的。(异步无状态:我们知道提升扫描速度的瓶颈在于发包后等待回复的时间,所以去掉这个等待时间我们就可以提升扫描速度,同时因为去掉了等待,我们需要另加一个收包的模块,用来收集扫描后返回的信息。
在无状态扫描中,收发是异步的,发包的模块不关心收包模块会不会收到回复、收包模块也不知道发包模块向谁发送了什么,也就是收发包模块间没有交互,发包的函数只负责发送,收包的模块接收特定tcp flags字段的数据包就好,这样就没有了等待回复的时间。)

②报告阶段report。mirai暴力登陆被识别的受害主机victim,登陆成功后,mirai将受害者IP和相关凭据发送到硬编码报表服务器,设备信息发送给Report Server。(硬破解是将数据直接嵌入到程序和其他可执行对象的源代码中,而非从外部获取数据或在运行时生成数据)。

③派遣并加载阶段dispatch and load。Report Server向 Loader Server发送加载恶意代码的命令,新感染的设备作为bots进行下一个感染循环。

感染成功后,mirai会删除下载的二进制文件并将其进程名融合到伪随机字母数字字符串中,mirai还杀死绑定到TCP22/23的和其他与竞争感染相关的进程,以提升自身的隐蔽性。

④攻击阶段attack。攻击者发送指令和控制,利用僵尸对攻击目标发动攻击。

针对Mirai的检测方式

三种检测方式:基于异常检测、基于DNS流量检测、基于蜜罐的检测。
简单来说蜜罐就是模拟某种有漏洞的系统服务作为诱饵,通过分析被攻击的蜜罐得到攻击者的行为特征。
蜜罐系统的要求:
(1)能够监控系统本身的行为。
(2)能够监控蜜罐的网络进出端口流量,能够分析数据包。
(3)能够规范化的处理日志,具备短期内恢复删除文件的功能,防治mirai攻击后删除相关日志。

不同Mirai僵尸网络模型

集中式僵尸网络

如果将僵尸网络比作戏剧作品,则C&C(命令与控制服务器,也称为C2)服务器是导演。剧中的演员就是被恶意软件感染并已加入讲师网络的机器人。

当恶意软件感染设备时,机器人发出定时信号通知C&C它已到位。此连接会话保持打开,直到C&C准备好命令机器人执行其指令,例如发送垃圾邮件以及进行密码破解和DDoS 攻击等。

在集中式僵尸网络中,C&C能够将僵尸主控机的命令直接传达给机器人。但是,C&C也是单一故障点:如果它被关闭,僵尸网络也将失效。

分层C&C

僵尸网络控制可以划分为多个层级,拥有多个C&C。专门的服务器组指定用于特定目的,例如,将机器人组织到小组里来传送指定的内容,等等。这使得僵尸网络更难以消灭。

分散式僵尸网络

对等(P2P)僵尸网络是新一代僵尸网络。P2P机器人不与集中式服务器通信,而是同时充当命令服务器和接收命令的客户端。这避免了集中式僵尸网络固有的单一故障点问题。由于P2P僵尸网络无需C&C即可运作,因此更难消灭。例如,Trojan.Peacomm和Stormnet就是P2P僵尸网络幕后的恶意软件。

Mirai的防治

统计显示,全球约有五分之一的物联网设备被mirai及其变种病毒感染。
除了全面更改密码,采用最新补丁外,有相关需求的企业应建立一个包括防火墙、VPN、防病毒网管和杀毒的整套防御策略。mirai的危害超乎人们的想象。

结语

全球通用的物联网安全标准目前尚且没有建立,缺少对于该类型技术的全球规范。越来越多没有智能保护的无线网设备涌入市场,在设备制造商趋于更低成本生产设备的同时,也应当让他们承担一定抗攻击的责任,安全责任落实到位才是从根源上解决僵尸网络的关键所在。

我不是zzy1231A
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Mirai-botnet 环境搭建步骤
banqiuzha4159的博客
08-29 2178
一、准备1.Mirai 使用了 C,Go 两种编程语言,使用数据库存储数据,因此提前安装需要软件如下命令: sudo apt-get install git sudo apt-get install gcc sudo apt-get install golang sudo apt-get install electric-fence sudo apt-get install...
Mirai僵尸网络
zheng_zmy的博客
06-15 5939
《Understanding the Mirai Botnet》选择这篇论文是想了解一下物联网设备现如今面临的安全威胁,这篇文章选题是在当时对美国等多个国家的其由于在2016年导致美国大范围网络瘫痪而名噪一时的Mirai僵尸网络,这篇论文对于Mirai僵尸网络进行了完整的分析。但是这是一篇实验记录的文章,主要讲了他们对Mirai的哪些方面做了研究,收集了什么样本,怎么做的实验,得出什么结果,对于想了解Mirai的读者我不怎么友好。因此我结合了一些网上搜集的相关文章来简单介绍一下Mirai以及蜜罐。 僵尸网络
Mirai的搭建和部分源码分析
12-24
第一次搭建Mirai的过程,这里把PPT给大家学习,ppt有些地方是超链接所以不播放排版可能会有点乱
什么是Mirai僵尸网络
因上努力,果上随缘。但行好事,莫问前程。
08-08 2187
Mirai是恶意软件,能够感染在ARC处理器上运行的智能设备,将其转变为远程控制的机器人或“僵尸”并组成网络。这种机器人网络称为僵尸网络,通常用于发动DDoS攻击。恶意软件是一个统称,包括计算机蠕虫、病毒、特洛伊木马、Rootkit和间谍软件。2016年9月,Mirai 恶意软件的作者在一个著名安全专家的网站上发起了DDoS攻击。一周后,他们向公众发布了源代码,目的可能是为了隐藏这次攻击的源头。...
探索未来物联网安全Mirai BotNet 开源项目解析
最新发布
gitblog_00079的博客
05-11 378
探索未来物联网安全Mirai BotNet 开源项目解析 项目地址:https://gitcode.com/jgamblin/Mirai-Source-Code 1、项目介绍 Mirai BotNet 是一个基于Linux的开源项目,其源自著名的Mirai僵尸网络的泄露源代码。该代码的公开是为了供研究者和IoT开发者进行研究与探索,以提升物联网设备的安全性。通过了解和学习Mirai的工作原理,我...
深度解析:恶意软件“Mirai”源代码的结构及其对策
weixin_34280237的博客
07-11 3382
2016年9月份以来,发生了多起大规模DDoS攻击事件。本文针对这些攻击事件中使用的恶意软件“Mirai”的源代码进行分析,进一步介绍Bot(客户端)的结构,以及其应对方法。 一、 Mirai Botnet是什么 2016年9月13日晚,美国著名安全记者Brian Krebs氏的网站“Krebs on Security”被DDoS攻击,mirai Bot...
Mirai 僵尸网络变体向 RCE、DDoS 开放 Tenda、Zyxel Gear
热门推荐
网络研究观
06-07 1万+
Mirai 僵尸网络的一个变体利用四种不同的设备漏洞将流行的基于 Linux 的服务器和物联网 (IoT) 设备添加到可以进行基于网络的攻击(包括分布式拒绝服务 (DDoS) 攻击)的僵尸网络中。
Mirai Okiru:新的 DDoS 僵尸网络针对基于 ARC 的物联网设备
zy18165754120的博客
01-11 2364
认识 Mirai Okiru,这是针对 ARC 处理器的 Mirai 变体,这些处理器是用于物联网、汽车、移动设备、电视、相机和几乎无穷无尽的产品清单的嵌入式处理器——据报道,CPU每年的产品出货量超过10 亿。为针对基于 ARC 的物联网设备的僵尸网络做好准备。 根据安全研究员 Odisseus 的说法: Odisseus 指出,来自 Malware Must Die 团队的 @unixfreaxjp 首先发现了 Okiru 样本。在撰写本文时,Virus Total的检测率为 58 中的 13;当.
Mirai僵尸网络恶意程序分析和监测数据研究
01-20
近年来,随着物联网的兴起,以僵尸网络为代表的恶意程序正在逐渐向物联网领域渗透,已经出现利用物联网脆弱的安全防护进行传播并发动拒绝服务攻击的恶意代码。首先介绍了Mirai僵尸网络的整体架构,对其受控端和控制端等多个组件的主要功能进行了研究;然后对通过主动和被动方式获取的监测数据展开分析,并在此基础上,对Mirai僵尸网络恶意程序的监测发现和应对建议进行了讨论。
导致美国大范围网络瘫痪的Mirai僵尸网络
HWP
04-02 524
2016年导致美国大范围网络瘫痪而名噪一时的Mirai僵尸网络
mirai:mirai僵尸网络的无所事事的测试环境
05-09
Mirai僵尸网络测试环境 要求 流浪汉 环境 专用网络(10.0.0.0/8) 伺服器 cnc(10.0.0.10) 运行cnc的tmux会话,进行扫描 通过telnet端口23进行管理员访问 管理员凭证:admin / admin 机器人(10.0.0.20) 运行...
2019年十大网络安全趋势.pdf
09-20
物联网设备的安全隐患逐渐暴露,预计2019年可能会出现更多类似Mirai僵尸网络的攻击,利用AI技术进行高度定制化的网络钓鱼活动,增加防范难度。 消费级设备,尤其是物联网设备,正成为黑客的新目标。从智能电视到...
网络安全的现状及防护策略.pdf
09-20
固件更新机制不健全、默认密码未改等常见问题使物联网网络容易受到大规模攻击,如Mirai僵尸网络的出现就展示了这一点。 针对这些挑战,我们需要采取有效的防护策略。首先,建立全面的网络安全意识,通过培训提高...
Mirai 恶意软件新变种感染 Linux 设备,以期构建 DDoS 僵尸网络
m0_60571990的博客
02-25 1118
Mirai 恶意软件新变种感染 Linux 设备,以期构建 DDoS 僵尸网络
Mirai僵尸网络重出江湖
adr88749的博客
12-11 178
近年数度感染数十万台路由器的僵尸网络程序Mirai,虽然原创者已经落网判刑,但是Mirai余孽却在网络上持续变种,现在安全人员发现,Mirai已经将焦点转向Linux服务器了。 安全公司Netcout的诱捕系统10月间侦测到网络上有多个IP对Hadoop YARN资源管理服务器的程序码注入漏洞发动攻击,经过解析,发现其中有少部份竟是来自Mirai变种。这让研究人...
Botnet:Kali下Mirai的编译使用及抓包
无名J0kзr的博客
04-03 3096
文章目录杂主要参考1. 编译1.1 安装依赖1.2 克隆源码1.3 编译加密程序1.4 加密主控服务器域名和报告服务器域名1.4 修改病毒本体源码1.5 配置CNC控制中心1.5.1 编辑sql脚本1.5.2 创建用户mirai1.5.3 修改主程序1.6 交叉编译1.7 添加环境变量1.8 构建受控端和主控端程序1.9 构建Loader 杂 是为了做NIDS啦,网上都找不到Mirai公开的数据集...
铭说 | 僵尸网络-Mirai变种MooBot简析
juminfo的博客
09-16 238
欢迎了解
Mirai僵尸病毒卷土重来,目标转向商用Linux服务器
mozhe_的博客
11-29 945
僵尸病毒的开发者显然已经从开发物联网(IoT)恶意软件中吸取了教训,并将工作重点转向针对商用Linux服务器。与许多物联网设备一样,在互联网上同样充斥着大量未打补丁的Linux服务器,而攻击者会向他们所能找到的每一台易受攻击服务器发送漏洞利用代码,从而对它们进行大规模的滥用。 网络安全公司Netcout表示,他们一直在监控其蜜罐网络中针对Hadoop YARN漏洞的利用尝试,并发现了一个熟悉但令...
悬镜安全丨德国电信断网事件详细分析:mirai僵尸网络的新变种和旧主控
Anprou的博客
11-30 2766
新变种的感染和植入过程已经被安全社区广泛讨论,例如下面的这篇文章,这里不再赘述,读者可以自行扩展阅读。
mirai僵尸网络的部署
08-28
Mirai僵尸网络是一个恶意软件,被用于感染并控制物联网设备,如路由器、摄像头和智能家居设备。以下是一般的Mirai僵尸网络部署过程: 1. 扫描:Mirai会使用预定义的用户名和密码组合列表进行扫描,寻找易受攻击的物联网设备。它会尝试连接到设备上的服务(如SSH、Telnet等)并使用这些凭据进行登录。 2. 入侵:一旦找到了易受攻击的设备,Mirai会尝试使用已知的漏洞进行入侵。这些漏洞可能基于设备的制造商和型号。一旦成功入侵,Mirai会在设备上安装并运行恶意软件。 3. 控制:Mirai通过与控制服务器建立连接,从中接收命令与控制指令。这些控制服务器通常由攻击者控制,并用于指挥僵尸网络中的感染设备执行各种操作。 4. 攻击:一旦Mirai感染了足够多的设备,并与控制服务器建立了连接,它可以被用来发动各种类型的攻击,如分布式拒绝服务攻击(DDoS),针对特定目标的攻击等。 需要注意的是,Mirai僵尸网络是非法的,并且使用这样的网络进行攻击行为是违法的。因此,我们强烈反对任何人从事这样的活动,并鼓励保护您的物联网设备免受此类威胁。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值