Fortinet实验室对Mirai新变种OMG的分析

导语:在本文中,我们将讨论一个名为OMG的基于Mirai的僵尸网络如何将物联网设备转变为代理服务器。

发现Mirai的新变种

FortiGuard实验室团队遇到了一个新的Mirai变体。自Mirai僵尸网络源代码发布以来,FortiGuard实验室已经看到了多名作者针对物联网威胁环境时所进行的改编。这些基于Mirai的僵尸程序的修改除了最初的telnet暴力破解登录之外,还增加了许多新的技术,包括漏洞利用以及以更多架构目标。我们观察到,对Mirai的许多修改动机已经趋向于赚取更多的钱。Mirai最初是为DDoS攻击而设计的,但后来的许多修改都被用于针对易受攻击的ETH采矿设备来挖掘加密货币。在本文中,我们将讨论一个名为OMG的基于Mirai的僵尸网络如何将物联网设备转变为代理服务器。

2016年10月,Brian Krebs发表了一篇关于网络犯罪分子如何将物联网设备转换为代理服务器来赚钱的文章。网络犯罪分子使用代理在进行各种肮脏工作时添加匿名性,如网络盗窃,黑客入侵系统等。使用代理服务器赚钱的一种方法是将对这些服务器的访问权限出售给其他网络犯罪分子。这就是我们认为这个基于Mirai的僵尸网络最新的变种背后的动机。

OMG与Mirai的相似之处

Mirai VS OMG

我们先看看OMG的配置表。最初加密的表使用0xdeadbeef作为密钥种子进行解密,使用与原始Mirai相同的过程。我们注意到的第一件事是没有找到字符串/ bin / busybox OOMGA和OOMGA:applet。 Mirai这个名字是因为未找到字符串/ bin / busybox MIRAI和MIRAI:applet而被提供给Mirai僵尸程序的,这些命令用于确定它是否已成功强制进入目标物联网设备。这些字符串与其他变体相似,如Satori / Okiru,Masuta等。

出于这个原因,我们决定命名这个变体OMG。这个变体还增加并删除了一些可以在原始Mirai代码中找到的配置。两个值得注意的添加是用于添加防火墙规则以允许两个随机端口上的流量的两个字符串,我们将在文章的后半部分讨论。

 2.png

图1. OMG配置表

OMG看起来像Mirai的原始模块,包括攻击,killer和扫描器模块。这意味着它也可以执行原始Mirai的功能,即杀死进程(通过检查开放端口和其他bot相关的其他进程来与telnetsshhttp相关),telnet强力登录以及DOS攻击。

3.png 

2. Mirai的主要模块

在初始化模块之后,OMG继续连接到命令和控制(CnC)服务器。下面的配置表包含CnC服务器字符串ccnew.mm.my,该字符串解析为188.138.125.235

4.png

3. CnC域名解析

CnC端口也包含在配置表中,为50023

 5.png

4. CnC端口50023

不幸的是,当我们进行分析时,CnC服务器没有响应,所以我们的许多研究结果都基于静态分析。连接时,OMG将定义的数据消息(0x00000000)发送给CnC以将自己标识为新的bot。

 6.png

5.发送的数据将其标识为新的bot

根据代码,bot从服务器接收一个5字节长的数据字符串,第一个字节是关于如何使用物联网设备的命令。预期值为:0用作代理服务器,1用于攻击,> 1用于终止连接。

 7.png

6.来自CnC服务器的预期选项

使用3proxyOMG

Mirai的这种变体使用3proxy作为其代理服务器,这是一个开源软件。设置开始时会生成两个用于http_proxy_portsocks_proxy_port的随机端口。一旦生成端口,它们就会被报告给CnC

 8.png

图7.代理设置

要使代理正常工作,必须添加防火墙规则以允许生成的端口上的流量。如前所述,包含用于添加和删除防火墙规则的命令的两个字符串被添加到配置表中。

TABLE_IPTABLES1 -> used to INSERT a firewall rule.
iptables -I INPUT -p tcp --dport %d -j ACCEPT; 
iptables -I OUTPUT -p tcp --sport %d -j ACCEPT; 
iptables -I PREROUTING -t nat -p tcp --dport %d -j ACCEPT; 
iptables -I POSTROUTING -t nat -p tcp --sport %d -j ACCEPT
 
TABLE_IPTABLES2 -> used to DELETE a firewall rule.
iptables -D INPUT -p tcp --dport %d -j ACCEPT; 
iptables -D OUTPUT -p tcp --sport %d -j ACCEPT; 
iptables -D PREROUTING -t nat -p tcp --dport %d -j ACCEPT; 
iptables -D POSTROUTING -t nat -p tcp --sport %d -j ACCEPT

9.png

图8.防火墙启用/禁用功能

启用防火墙规则以允许流量通过随机生成的HTTP和SOCKS端口后,它将在其代码中嵌入预定义配置的3proxy

10.png

图9.代理配置

 

由于服务器在分析过程中不活跃,我们假设作者是出售对IoT代理服务器的访问权限,为他们提供访问凭据。 

结论

这是我们第一次看到修改后的Mirai能够进行DDOS攻击,并在易受攻击的物联网设备上设置代理服务器。随着这一发展,我们相信未来越来越多的基于mirai的僵尸网络将会出现新的货币化方式。

源链接

Hacking more

...