蜜罐揭秘真实的Mirai僵尸网络。
关于Mirai文章已经很多,基本都是基于Mirai公开源码的解读,或者相关 DDOS 事件的分析。我们决定使出洪荒之力,通过构建针对性蜜罐系统,主动探测揭秘当前互联网上真实隐藏着的 Mirai僵尸网络。
1、僵尸网络探测系统
基于Mirai感染逻辑,我们研发了一套针对性的Mirai僵尸网络探测系统。下边简单介绍一下Mirai 的组成部分。
—-ScanListen模块:主要用于接收Bot弱口令扫描得到的设备信息,包括:ip 、端口、用户名、密码。并将其发送给 Load处理。
—-Load模块:接收ScanListen发送的目标信息,并针对每个设备植入木马。
—-CNC模块:主要用于管理Bot,发起DDOS攻击。
—-Bot模块:运行于网络设备,主要实现网络设备telnet弱口令扫描,同时接收CNC 控制指令对目标发动 DDOS攻击。
Mirai的感染逻辑是:ScanListen在接受到Bot 的扫描结果信息后,未对信息发送方进行身份验证,直接把结果传递给 Load,然后 Load直接对结果中的目标植入木马。示意图如下:
Mirai的感染逻辑
我们通过伪造扫描结果信息,把蜜罐系统地址信息与登陆口令发送给疑似ScanListen,如果命中真实ScanListen ,则相应的 Load服务器会对蜜罐系统植入 Mirai木马,木马运行后与相应的CNC 服务器建立连接。示意图如下:
Mirai僵尸网络探测系统
疑似ScanListen的IP获取方法:在全球范围内,扫描端口 48101 打开的服务器 IP。
真实ScanListe命中确认方法:通过构造大量包极其复杂用户名与密码,在一定时间段内,保证针对一个疑似ScanListen 发送一个唯一的用户名密码。通过监控与蜜罐系统建立 telnet连接时使用的用户名与密码,即可确定哪个疑似ScanListen是真实的 ScanListen。
2、ScanListen服务器全球分布
通过近3个月的主动探测分析,我们发现有1874个 ScanListen 服务器,分布于全球34 个国家或地区。
该地图中颜色越深,代表分布数量越多,可以看出分布数量最大的几个国家有中国大陆、美国、比利时、荷兰、法国、西班牙、俄罗斯等
3、ScanListen服务器中国大陆分布
在中国大陆,共发现422个,主要分布山东、上海、河南、浙江、辽宁等省份或者直辖市。
4、BOT全球分布
我们对部分ScanListen接收到的BOT信息进行了统计,发现近 87 万台BOT 历史记录信息,分布于202个国家或地区。主要分布于中国、俄罗斯、印度、巴西、越南、伊朗、巴基斯坦、意大利、日本、土耳其、美国等国。
5、BOT中国大陆分布
6、BOT扫描分析
通过蜜罐系统捕获到的Bot扫描使用的弱口令,发现已经累计增加到86条。 Mirai 原Bot 扫描利用弱口令为60个,如下图所示:
7、悟语
通过对ScanListen与Bot分布的分析,Bot 主要分布于发展中国家,侧面反映出发展中国家网络安全防御能力普遍较弱。
我国经济发展较强省份或地区在网络安全防御能力方面没有形成明显优势,让我想起某安全人士所说的一句话:中国一流的网络规模却只有四流网络安全防御能力。我们于此事件中就可管中窥豹可见一斑,我国作为世界上拥有最多网民的国家,提高国家网络安全防御能力已经刻不容缓!