概述
Mirai病毒是物联网病毒的鼻祖,能够感染在 ARC 处理器上运行的智能设备,将其转变为远程控制的机器人或“僵尸”并组成网络。这种机器人网络称为僵尸网络,通常用于发动 DDoS 攻击。由于Mirai病毒具备了所有僵尸网络病毒的基本功能(爆破、C&C连接、DDoS攻击),后来的许多物联网病毒都是基于Mirai源码进行更改的。
攻击流程
Mirai 扫描互联网上运行于 ARC 处理器上的 IoT 设备。这种处理器运行 Linux 操作系统的精简版本。如果没有更改默认的用户名和密码组合,Mirai 能够登录并感染该设备。攻击者对设备具有绝对控制权后组成僵尸网络,对外发起攻击。
黑客在黑客服务器上运行loader,loader开始对公网上的物联网设备进行telnet爆破。
爆破成功后,远程执行命令,使肉鸡从文件服务器上下载mirai病毒。
检测是否可以使用wget和tftp命令,若不行则使用dlr程序下载mirai病毒。
肉鸡运行mirai病毒,会主动跟C&C服务器进行通信。
C&C服务器下发DDoS、传播指令给肉鸡,后者执行相应的操作,对外发起攻击。
常见变种与特征
| 变种名称 | 特征 |
| hybridMQ_v2 | 具备Mirai初始化代码特征和Gafgyt攻击代码特征的混合型变种,通信模式与Gafgyt相同。 |
| mirai_skyline | 基于Mirai原始代码修改,进行若干项修改:输出的内容修改为 SkyLine;C&C地址修改为域名;增加DNS解析能力;上线信息替换为:0xBA2224156FAD4049C1F60D;只保留了TCP flood,HTTP flood以及UDP flood三种DDoS攻击方法。 |
| mirai_joker | 基于Mirai变种Miori修改,输出内容包含关键字 Joker,上线信息同样进行了文字替换。 |
| mirai_haxers | 基于Mirai变种Miori修改,替换了漏洞利用代码,并将字符串替换为haxers。 |
| mirai_miori_v2 | 基于Mirai变种Mior修改,修改了字符串输出,使用了Gafgyt 输出字串进行特征混淆 . |
| mirai_Hustle5k | 基于Mirai原始代码修改,输出内容包含关键字Hustle5k,其他无改变。 |
| mirai_hito | 基于Mirai原始代码修改,仅替换了加密key。 |
| mirai_spider | 基于Mirai原始代码修改,输出内容包含关键字spider,其他无改变。 |
| mirai_Caligula | 基Mirai原始代码修改,输出内容包含关键字Caligula,其他无改变。 |
| mirai_Mukashi | 基于Mirai原始代码修改,调整了Mirai的代码结构,调整上线信息为:register me。 |
| mirai_Aisuru_2 | 添加了蜜罐检测。 |
| mirai_Fbot | 基于Mirai变种Satori修改,增加了区块链DNS解析非标准 C&C名称。 |
| mirai_Dropbear | 基于Mirai原始代码修改,输出内容包含关键字dropbear,其他无改变。 |
| mirai_remiixx | 基于Mirai原始代码修改,输出内容包含关键字dropbear,其他无改变。 |
| mirai_Kurtis | 基于Mirai原始代码修改,输出内容包含关键字kurtis,其他无改变。 |
应对措施
事前预防
了解蠕虫木马Mirai攻击原理及其攻击方法,以及漏洞所带来的危害;及时更新各类监测设备漏洞库以及特征库;梳理资产,确定资产中哪些使用了受漏洞影响的应用及组件,及时升级更新修复系统漏洞,尤其命令执行、代码执行类的高危漏洞。严禁使用弱口令或默认口令,定期更换口令。定期查杀僵尸木马等恶意程序。
事中监测
攻击者在攻击过程中可能使用EXP或者POC进行漏洞探测,可以通过监测相关流量或者日志中是否存在“远程请求下载文件”“执行系统特权命令”等行为来发现可能的攻击行为。通过各类监测设备(态势感知、WAF、IPS等)对Mirai木马攻击进行监测,发现攻击行为或疑似攻击行为,直接对攻击者IP(端口)进行封堵处理。
事后处置
确认有主机或应用被攻击,第一时间应用和主机下线。排查组件根据实际部署业务的流量情况,针对受攻击主机或已知存在使用该插件的组件在不影响业务的前提下进行升级打补丁。发现主机感染僵尸木马程序后,立即核实主机受控情况和入侵途径,清理受害主机。
扫一扫
143
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
