会员服务

Mirai利用Tor网络隐蔽通信

2019 年 8 月 25 日 FreeBuf

作为物联网(IoT)恶意软件家族中最活跃的一员,Mirai可谓臭名昭著,它是系统管理员们持续关注的对象,以确保系统和设备不受破坏。尽管这一恶意软件受到了安全人员大量的关注,但网络罪犯们似乎仍然在继续开发和使用Mirai。

我们发现新的Mirai变种之后,差不多又有一个月的时间,通过我们的研究又再次发现了另一个新的Mirai样本,该样本允许攻击者通过IoT设备(如IP摄像头和硬盘录像机等)的开放端口和默认口令获取远程访问和控制权限,并且攻击者可以使用已经感染的设备,通过多种方法,如用户数据报协议(UDP)泛洪攻击,实现分布式拒绝服务攻击(DDoS)。

但是和之前的变种相比,我们发现这一样本的不同之处在于,网络罪犯们为了匿名性,将命令控制(C&C)服务器部署到了Tor网络之中。考虑到在公网中实施恶意行为的C&C服务器会被曝光和拿下,因此这可能会是IoT恶意软件开发人员未来考虑的趋势,而对网络安全研究人员、企业和用户来说,可能要针对这一趋势做好防护。

Socks5协议和配置

典型的Mirai变种通常有1到4个C&C服务器,但该样本中却硬编码了30个IP地址。我们在一个封闭的沙箱环境中观察了样本和服务器之间的通信。执行已有的样本,会发送“05 01 00”的一个特殊序列,该序列是socks5协议的初始化握手消息。

接下来我们将这一消息发送给服务器,收到了来自大部分服务器IP地址的socks5响应序列“05 00”,确认了它们是通过socks5代理进到Tor网络的。

Shodan扫描显示这些服务器中部署了socks代理的搜索结果也验证了这一观点。

图1 Shodan扫描搜索结果显示socks代理的示例

更多的分析揭示了该恶意软件会从一个列表中随机选择一个服务器作为代理,然后用socks5发起连接并请求将数据包中继到Tor网络中的地址(nd3rwzslqhxibkl7[.]onion:1356)。如果没有建立中继连接,它会用其他的代理服务器再次尝试执行这一流程。

我们在测试环境中,通过一个Tor代理连接到C&C,确认了它会返回一个攻击者的登录提示,而这一提示和之前Mirai变种的C&C服务器所返回的提示完全相同。

与其他Mirai变种相似的地方不一个,配置文件也都是通过和0x22(34)异或进行加密的,并且硬编码在恶意软件的二进制文件中。

解密时,我们还发现了一个有趣的字符串“LONGNOSE: applet not found”,而通过它我们就可以分辨出该变种的名称。

感染,传播和DDoS命令

我们对一些随机IP地址的8572好和34567号TCP端口进行扫描得到的样本,有可能具体对应开放的IP摄像头和硬盘录像机的远程访问和控制。样本的配置中也包括一些可能用来感染其他设备的默认口令。

图2 样本发送到9527端口的命令

图3 样本发送到34567端口的信息

通过分析样本使用的通信协议,我们发现它具有之前Mirai变种的协议特点,但其与众不同之处在于使用了socks5进行连接。我们也识别出了从C2C服务器中发送的DDoS命令的字节序列表示,该命令可以对一个特定IP地址进行UDP泛洪攻击。

图4 C&C服务器中一个有可能是DDoS的命令的解密数据

相关样本

‘我们从其他地方寻找相关的样本和信息进行比较,其他的公开源如VirusTotal发布过一个来自相同URL且哈希值相同的报告,该URL的开放目录中还有不同设备架构的其他样本。

报告中的其他细节披露了另一个分布式服务器。

图5 该分布式服务器上的开放目录

总结

我们发现这一特殊样本的有趣之处在于攻击者把C&C服务器放在Tor网络里的这一技术决策,可能是为了避免它的IP地址被追踪或是当被曝光之后避免被域名服务商禁掉域名。这不禁让人想起2017年曝光的恶意软件BrickerBot,也一个在Tor网络中使用了类似Mirai技术的恶意软件变种。

BrickerBot是phlashing攻击或者所谓持久性拒绝服务攻击(PDoS)的最早案例之一,但是极具讽刺意味的是,其本意是为了防止IoT设备感染Mirai,但最终却在损坏了超过一千万台设备之后才不再继续。

虽然之前也有过其他恶意软件将C&C服务器藏在Tor网络中这一现象的报导,我们仍然可以认为这是其他不断进化的IoT恶意软件家族的一个先驱者。由于Tor网络的客观性质,服务器仍然保持匿名性,因此恶意软件的编写者,甚或是C&C服务器的拥有者也依然能够保持着隐藏身份。类似的,即使被发现了恶意行为,服务器仍然能保持运行,网络流量也可以伪装成合法流量并保持加密状态,而且由于其地址在Tor网络中仍会存在别的合法用途,所以也不一定会被列入黑名单。

其他分布式服务器和其他用于不同设备架构的样本的存在可能意味着这些恶意行为意在向更大的范围进行传播。但是,签名检测系统和基于行为的检测机制仍然能够检测到并阻挡这些恶意软件的入侵。

建议用户和企业将其网络系统和设备升级到最新的补丁版本,并用复杂密码替换默认口令,以及启用多重认证系统防止非法访问。最后,避免连接到信任网络边界之外的不安全网络,从而降低从开放的公共网络被入侵的可能性。

IoCs

URLs

  
  
    

   
   
     
    
    
    
      
  • 
    
    
      
  • 
    
    
      
  • 
   
   
     

   
   
     
nd3rwzslqhxibkl7[.]onion:1356                  C&C serverhxxp://185[.]100[.]84[.]187/t/                   Disease vectorhxxp://89[.]248[.]174[.]198/main/           Disease vector

*参考来源:TrendMicro,由Kriston编译,转载请注明来自FreeBuf.COM

精彩推荐


登录查看更多
0

相关内容

服务器,也称伺服器,是提供计算服务的设备。由于服务器需要响应服务请求,并进行处理,因此一般来说服务器应具备承担服务并且保障服务的能力。
服务器的构成包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
[ICML-Google]先宽后窄:对深度薄网络的有效训练
[ICML-Google]先宽后窄:对深度薄网络的有效训练
专知会员服务
33+阅读 · 2020年7月5日
【KDD2020】动态图的拉普拉斯变换点检测,Laplacian Change Point Detection for Dynamic Graphs
【KDD2020】动态图的拉普拉斯变换点检测,Laplacian Change Point Detection for Dynamic Graphs
专知会员服务
35+阅读 · 2020年7月3日
一份简明有趣的Python学习教程,42页pdf
一份简明有趣的Python学习教程,42页pdf
专知会员服务
76+阅读 · 2020年6月22日
【SIGIR2020】策略感知的无偏排序学习—Top-K排序,Policy-Aware Unbiased Learning to Rank for Top-𝑘 Rankings
【SIGIR2020】策略感知的无偏排序学习—Top-K排序,Policy-Aware Unbiased Learning to Rank for Top-𝑘 Rankings
专知会员服务
25+阅读 · 2020年6月10日
AI领域顶会AAMAS2020最佳论文出炉!《深度残差强化学习》牛津大学,Deep Residual RL
AI领域顶会AAMAS2020最佳论文出炉!《深度残差强化学习》牛津大学,Deep Residual RL
专知会员服务
44+阅读 · 2020年5月15日
【ICMR2020】持续健康状态接口事件检索
【ICMR2020】持续健康状态接口事件检索
专知会员服务
17+阅读 · 2020年4月18日
【论文推荐】基于机器学习的5G网络异常检测,Machine Learning based Anomaly Detection for 5G Networks
【论文推荐】基于机器学习的5G网络异常检测,Machine Learning based Anomaly Detection for 5G Networks
专知会员服务
35+阅读 · 2020年3月12日
【MIT深度学习课程】深度序列建模,Deep Sequence Modeling
【MIT深度学习课程】深度序列建模,Deep Sequence Modeling
专知会员服务
76+阅读 · 2020年2月3日
【金融强化学习论文】金融资产组合管理问题的深度强化学习框架(A Deep Reinforcement Learning Framework for theFinancial Portfolio Management Problem)
【金融强化学习论文】金融资产组合管理问题的深度强化学习框架(A Deep Reinforcement Learning Framework for theFinancial Portfolio Management Problem)
专知会员服务
53+阅读 · 2019年12月16日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
13+阅读 · 2019年11月13日
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
AI前线
21+阅读 · 2019年10月28日
后渗透利用msf关闭防火墙
后渗透利用msf关闭防火墙
黑白之道
8+阅读 · 2019年8月24日
如何找到相似Graph?DeepMind提出超越GNN的图匹配网络
如何找到相似Graph?DeepMind提出超越GNN的图匹配网络
机器之心
24+阅读 · 2019年5月7日
使用 Canal 实现数据异构
使用 Canal 实现数据异构
性能与架构
20+阅读 · 2019年3月4日
威胁情报驱动:F3EAD 之利用
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
使用tinc构建full mesh结构的VPN
使用tinc构建full mesh结构的VPN
运维帮
63+阅读 · 2018年12月1日
已删除
已删除
AI科技评论
4+阅读 · 2018年8月12日
阿里流行音乐趋势预测-深度学习LSTM网络实现代码分享
阿里流行音乐趋势预测-深度学习LSTM网络实现代码分享
机器学习研究会
11+阅读 · 2017年12月5日
带你训练一个简单的音频识别网络(附代码)
带你训练一个简单的音频识别网络(附代码)
数据派THU
4+阅读 · 2017年10月9日
无人驾驶汽车
无人驾驶汽车
劲说
5+阅读 · 2016年8月26日
Simple Multi-Resolution Representation Learning for Human Pose Estimation
Simple Multi-Resolution Representation Learning for Human Pose Estimation
Arxiv
6+阅读 · 2020年4月14日
Learning to Detect Opinion Snippet for Aspect-Based Sentiment Analysis
Arxiv
6+阅读 · 2019年9月25日
Factor Graph Attention
Factor Graph Attention
Arxiv
6+阅读 · 2019年4月11日
Fire SSD: Wide Fire Modules based Single Shot Detector on Edge Device
Arxiv
3+阅读 · 2018年10月16日
Dissecting Contextual Word Embeddings: Architecture and Representation
Dissecting Contextual Word Embeddings: Architecture and Representation
Arxiv
22+阅读 · 2018年8月27日
Zero-Shot Object Detection
Zero-Shot Object Detection
Arxiv
9+阅读 · 2018年7月27日
Multi-Level Factorisation Net for Person Re-Identification
Arxiv
4+阅读 · 2018年4月17日
Scalable Generalized Dynamic Topic Models
Arxiv
7+阅读 · 2018年3月21日
VizWiz Grand Challenge: Answering Visual Questions from Blind People
Arxiv
9+阅读 · 2018年2月22日
A Resource-Light Method for Cross-Lingual Semantic Textual Similarity
Arxiv
3+阅读 · 2018年1月19日
VIP会员
相关主题
服务器
样本
DDoS
软件
UDP
序列
相关VIP内容
[ICML-Google]先宽后窄:对深度薄网络的有效训练
[ICML-Google]先宽后窄:对深度薄网络的有效训练
专知会员服务
33+阅读 · 2020年7月5日
【KDD2020】动态图的拉普拉斯变换点检测,Laplacian Change Point Detection for Dynamic Graphs
【KDD2020】动态图的拉普拉斯变换点检测,Laplacian Change Point Detection for Dynamic Graphs
专知会员服务
35+阅读 · 2020年7月3日
一份简明有趣的Python学习教程,42页pdf
一份简明有趣的Python学习教程,42页pdf
专知会员服务
76+阅读 · 2020年6月22日
【SIGIR2020】策略感知的无偏排序学习—Top-K排序,Policy-Aware Unbiased Learning to Rank for Top-𝑘 Rankings
【SIGIR2020】策略感知的无偏排序学习—Top-K排序,Policy-Aware Unbiased Learning to Rank for Top-𝑘 Rankings
专知会员服务
25+阅读 · 2020年6月10日
AI领域顶会AAMAS2020最佳论文出炉!《深度残差强化学习》牛津大学,Deep Residual RL
AI领域顶会AAMAS2020最佳论文出炉!《深度残差强化学习》牛津大学,Deep Residual RL
专知会员服务
44+阅读 · 2020年5月15日
【ICMR2020】持续健康状态接口事件检索
【ICMR2020】持续健康状态接口事件检索
专知会员服务
17+阅读 · 2020年4月18日
【论文推荐】基于机器学习的5G网络异常检测,Machine Learning based Anomaly Detection for 5G Networks
【论文推荐】基于机器学习的5G网络异常检测,Machine Learning based Anomaly Detection for 5G Networks
专知会员服务
35+阅读 · 2020年3月12日
【MIT深度学习课程】深度序列建模,Deep Sequence Modeling
【MIT深度学习课程】深度序列建模,Deep Sequence Modeling
专知会员服务
76+阅读 · 2020年2月3日
【金融强化学习论文】金融资产组合管理问题的深度强化学习框架(A Deep Reinforcement Learning Framework for theFinancial Portfolio Management Problem)
【金融强化学习论文】金融资产组合管理问题的深度强化学习框架(A Deep Reinforcement Learning Framework for theFinancial Portfolio Management Problem)
专知会员服务
53+阅读 · 2019年12月16日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
13+阅读 · 2019年11月13日
热门VIP内容
相关资讯
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
AI前线
21+阅读 · 2019年10月28日
后渗透利用msf关闭防火墙
后渗透利用msf关闭防火墙
黑白之道
8+阅读 · 2019年8月24日
如何找到相似Graph?DeepMind提出超越GNN的图匹配网络
如何找到相似Graph?DeepMind提出超越GNN的图匹配网络
机器之心
24+阅读 · 2019年5月7日
使用 Canal 实现数据异构
使用 Canal 实现数据异构
性能与架构
20+阅读 · 2019年3月4日
威胁情报驱动:F3EAD 之利用
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
使用tinc构建full mesh结构的VPN
使用tinc构建full mesh结构的VPN
运维帮
63+阅读 · 2018年12月1日
已删除
已删除
AI科技评论
4+阅读 · 2018年8月12日
阿里流行音乐趋势预测-深度学习LSTM网络实现代码分享
阿里流行音乐趋势预测-深度学习LSTM网络实现代码分享
机器学习研究会
11+阅读 · 2017年12月5日
带你训练一个简单的音频识别网络(附代码)
带你训练一个简单的音频识别网络(附代码)
数据派THU
4+阅读 · 2017年10月9日
无人驾驶汽车
无人驾驶汽车
劲说
5+阅读 · 2016年8月26日
相关论文
Simple Multi-Resolution Representation Learning for Human Pose Estimation
Simple Multi-Resolution Representation Learning for Human Pose Estimation
Arxiv
6+阅读 · 2020年4月14日
Learning to Detect Opinion Snippet for Aspect-Based Sentiment Analysis
Arxiv
6+阅读 · 2019年9月25日
Factor Graph Attention
Factor Graph Attention
Arxiv
6+阅读 · 2019年4月11日
Fire SSD: Wide Fire Modules based Single Shot Detector on Edge Device
Arxiv
3+阅读 · 2018年10月16日
Dissecting Contextual Word Embeddings: Architecture and Representation
Dissecting Contextual Word Embeddings: Architecture and Representation
Arxiv
22+阅读 · 2018年8月27日
Zero-Shot Object Detection
Zero-Shot Object Detection
Arxiv
9+阅读 · 2018年7月27日
Multi-Level Factorisation Net for Person Re-Identification
Arxiv
4+阅读 · 2018年4月17日
Scalable Generalized Dynamic Topic Models
Arxiv
7+阅读 · 2018年3月21日
VizWiz Grand Challenge: Answering Visual Questions from Blind People
Arxiv
9+阅读 · 2018年2月22日
A Resource-Light Method for Cross-Lingual Semantic Textual Similarity
Arxiv
3+阅读 · 2018年1月19日
大家都在搜
  1. TDGN
  2. 卡尔曼
  3. 大型语言模型
  4. 扩散模型
  5. CMU博士论文
  6. 智能仓储
  7. AGV
  8. 成飞
  9. 图与推荐指南针
  10. 最受欢迎动物书系列之“红皮书”
    11.
Top
微信扫码咨询专知VIP会员
Top