蜜罐揭秘真實的Mirai殭屍網路

蜜罐揭秘真實的mirai殭屍網路。

關於mirai文章已經很多，基本都是基於mirai公開原始碼的解讀，或者相關 ddos 事件的分析。我們決定使出洪荒之力，通過構建針對性蜜罐系統，主動探測揭秘當前網際網路上真實隱藏著的 mirai殭屍網路。

1、殭屍網路探測系統

基於mirai感染邏輯，我們研發了一套針對性的mirai殭屍網路探測系統。下邊簡單介紹一下mirai 的組成部分。

—-scanlisten模組：主要用於接收bot弱口令掃瞄得到的裝置資訊，包括：ip 、埠、使用者名稱、密碼。並將其傳送給 load處理。

—-load模組：接收scanlisten傳送的目標資訊，並針對每個裝置植入木馬。

—-cnc模組：主要用於管理bot，發起ddos攻擊。

—-bot模組：執行於網路裝置，主要實現網路裝置telnet弱口令掃瞄，同時接收cnc 控制指令對目標發動 ddos攻擊。

mirai的感染邏輯是：scanlisten在接受到bot 的掃瞄結果資訊後，未對資訊傳送方進行身份驗證，直接把結果傳遞給 load，然後 load直接對結果中的目標植入木馬。示意圖如下：

mirai的感染邏輯

我們通過偽造掃瞄結果資訊，把蜜罐系統位址資訊與登陸口令傳送給疑似scanlisten，如果命中真實scanlisten ，則相應的 load伺服器會對蜜罐系統植入 mirai木馬，木馬執行後與相應的cnc 伺服器建立連線。示意圖如下：

mirai殭屍網路探測系統

疑似scanlisten的ip獲取方法：在全球範圍內，掃瞄埠 48101 開啟的伺服器 ip。

真實scanliste命中確認方法：通過構造大量包極其複雜使用者名稱與密碼，在一定時間段內，保證針對乙個疑似scanlisten 傳送乙個唯一的使用者名稱密碼。通過監控與蜜罐系統建立 telnet連線時使用的使用者名稱與密碼，即可確定哪個疑似scanlisten是真實的 scanlisten。

2、scanlisten伺服器全球分布

通過近3個月的主動探測分析，我們發現有1874個 scanlisten 伺服器，分布於全球34 個國家或地區。

該地圖中顏色越深，代表分布數量越多，可以看出分布數量最大的幾個國家有中國大陸、美國、比利時、荷蘭、法國、西班牙、俄羅斯等

3、scanlisten伺服器中國大陸分布

在中國大陸，共發現422個，主要分布山東、上海、河南、浙江、遼寧等省份或者直轄市。

4、bot全球分布

我們對部分scanlisten接收到的bot資訊進行了統計，發現近 87 萬台bot 歷史記錄資訊，分布於202個國家或地區。主要分布於中國、俄羅斯、印度、巴西、越南、伊朗、巴基斯坦、義大利、日本、土耳其、美國等國。

5、bot中國大陸分布

6、bot掃瞄分析

通過蜜罐系統捕獲到的bot掃瞄使用的弱口令，發現已經累計增加到86條。 mirai 原bot 掃瞄利用弱口令為60個，如下圖所示：

7、悟語

通過對scanlisten與bot分布的分析，bot 主要分布於發展中國家，側面反映出發展中國家網路安全防禦能力普遍較弱。

我國經濟發展較強省份或地區在網路安全防禦能力方面沒有形成明顯優勢，讓我想起某安全人士所說的一句話：中國一流的網路規模卻只有四流網路安全防禦能力。我們於此事件中就可管中窺豹可見一斑，我國作為世界上擁有最多網民的國家，提高國家網路安全防禦能力已經刻不容緩!