Mirai物联网僵尸攻击深度解析

物联网

  4、重绑定技术防止外来者抢占资源

  Mirai有一个特点就是具有排他性,设备一旦感染,其会通过端口来关闭Telnet(23)、SSH(22,编译时可选删除项)、HTTP(80,编译时可选删除项)服务并且会阻止这些服务进行重启,其主要实现方法是通过kill强制关闭这三个服务进程,并强行占用这些服务开启时所需要的端口。此举Mirai既可以防止设备被其他恶意软件感染,也可以防止安全人员从外部访问该设备,提高Mirai的取证难度。此功能实现在killer.c文件中。

  Telnet服务的重绑定实现如下图,SSH和HTTP服务采用类似的方式实现。

物联网

  SSH服务的重绑定实现:

  HTTP服务的重绑定实现:

物联网

  通过对实际样本的分析我们发现,大部分黑客并没有对SSH和HTTP进行重绑定操作,绝大部分都只针对于Telnet服务进行了重绑定。

  5、干掉竞争对手,独占资源

  Mirai会通过一种 memory scraping的技术干掉设备中的其他恶意软件,其具体做法是搜索内存中是否存在QBOT特征、UPX特征、Zollard蠕虫特征、Remaiten bot特征来干掉对手,以达到独占资源的目的。

物联网

  此外,Mirai如果发现anime恶意软件,同样也会强行干掉它。

  6、可感染设备探测

  Mirai僵尸随机扫描网络中IOT设备的Telnet服务并通过预植的用户名密码进行暴力破解,然后将扫描得到的设备IP地址、端口、设备处理器架构等信息回传给Load服务器。这里要注意的是,Mirai的随机扫描是有一个过滤条件的,其中比较有意思就是他会过滤掉通用电气公司、惠普公司、美国国家邮政局、国防部等公司和机构的IP地址。

物联网

  Mirai僵尸中内置有60余个用户名和密码,其中内置的用户名和密码是加密处理过的,加密算法是通过简单的单字节多次异或实现,其密钥为0xDEADBEEF, 解密密钥为0xEFBEADDE。

物联网

  Mirai使用高级SYN扫描技术对网络中的设备进行扫描破解,其速度较僵尸程序QBOT所采用的扫描技术快80倍,资源消耗减少至少达20倍。因此具备强大的扫描感染能力,黑客在收集肉鸡过程中,曾经每秒可新增500个IOT设备。

  Telnet服务扫描实现如下:

物联网

  当Mirai扫描到Telnet服务时,会连接Telnet并进行暴力登录尝试。Mirai首先会使用内置的用户名和密码尝试登录,之后通过发送一系列命令来判定登录成功与否。如果成功则试图进行一些操作,比如开启shell等操作,其发送的命令被初始化在一个Table中,如下表所示:

命令操作类型Index功能描述TABLE_SCAN_CB_DOMAIN18yesdomain to connect toTABLE_SCAN_CB_PORT19yesPort to connect toTABLE_SCAN_SHELL20yes‘shell’ to enable shell accessTABLE_SCAN_ENABLE21yes‘enable’ to enable shell accessTABLE_SCAN_SYSTEM22yes‘system’ to enable shell accessTABLE_SCAN_SH23yes‘sh’ to enable shell accessTABLE_SCAN_QUERY24yesecho hex string to verify loginTABLE_SCAN_RESP25yesutf8 version of query stringTABLE_SCAN_NCORRECT26yes‘ncorrect’ to fast-check for invalid passwordTABLE_SCAN_PS27no“/bin/busybox ps”TABLE_SCAN_KILL_928no“/bin/busybox kill -9 “

  以上表格中只有TABLE_SCAN_PS和TABLE_SCAN_KILL_9进行了初始化而未对目标设备进行预执行操作。从20到26的操作均是在发送用户名和密码后的登录验证操作。其中TABLE_SCAN_CB_DOMAIN和TABLE_SCAN_CB_PORT为黑客配置的Load服务器,该服务器用于获取有效的Telnet扫描结果,扫描结果中包含IP地址、端口、Telnet用户名和密码等信息。发送信息的格式如下: