工作来源
GLOBECOM 2021
工作背景
典型的 Mirai 是集中式而不是分布式(P2P)的,如下所示:
Bot:被攻陷的物联网设备
C&C:向 Bot 发出指令的命令与控制服务器
Scanner:扫描发现特定服务/设备
Report:记录扫描结果、活跃 Bot 与可用凭证的服务器
Loader:从 Report 服务器获取扫描结果与凭据,在设备下载恶意样本
Malware:部署恶意代码提供下载的服务器
扫描通常可分为:
垂直扫描,同一个目标扫描多个端口
水平扫描,同一个端口扫描多个目标
现代僵尸网络表现出垂直扫描与水平扫描混合的特性。
工作准备
使用 MaxMind 作为地理定位数据
使用四个 IP 黑名单(Spamhaus、Barracuda、Spam Open Relay Blocking System、Composite Blocking List)
使用 Bad Packet 十一个全球蜜罐(美国 7 个、俄罗斯 2 个、巴西 2 个)
通过首个 TCP SYN 包的序列号等于 IP 地址的特征确定 Mirai 类的活动。
感染者总量前十五位的国家/地区如下所示,前五位的国家/地区总计占到了总量的 60%。
按照自治系统的口径进行统计,前十位的自治系统总计占到了总量的 56%。
工作评估
扫描
目标端口 TOP 10 如下所示,Mirai 的源码中会主动随机扫描 TCP 端口 23 与 2323。可见攻击者现在不仅局限于此,对各种 HTTP/HTTPS 服务也不放过。
如下所示,统计分析每个扫描与唯一端口的数量。每个扫描源最多扫描 15 个端口、最少扫描 2 个端口。
感染
大多数利用的漏洞都是 DVR 的 RCE 漏洞,有些设备甚至七年都没有打补丁。
活跃
大部分 IP 地址的活跃时间都小于十天,这些 IP 地址在 0-8000 的范围内对 2063 个不同的 TCP 端口进行扫描。而长时间活跃的 IP 地址仅扫描 47 个不同的 TCP 端口,最长超过了两百天。
IP 信誉
Spamhaus 拥有数据集中 79% 的 IP 地址、SORBS 有 24.5%、Barracuda 有 23.6%,CBL 的命中率最低只有 6%。
工作思考
Bad Packet 通过全球分布的蜜罐,在长达七个月的时间里分析在野僵尸网络活动。经常看 Twitter 的应该很熟悉 Bad Packet 了,可以认为是 GreyNoise 的同类,下次有机会也写一下 GreyNoise。
通过数据可以看出,Mozi 的量是非常大的,实际上即使到现在 Mozi 也是死而不僵。其次 Beastmode 的量也非常大,这一僵尸网络也一直活跃至今。僵尸网络的攻击者除非被捕,否则是不会放弃控制的,会持续更新进行规模扩张。