新型Mirai僵尸网络的变种正在端口23和2323上大肆传播

大约60个小时以前，从2017-11-2211:00开始，国内网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者，大约10万个扫描IP地址位于阿根廷，同时网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后，目前比较确定这是一个新的Mirai变种。

根因分析

在我们蜜罐中，最近有两个新的用户名密码被频繁使用到，分别是admin/CentryL1nk和admin/QwestM0dem。值得一提，admin/CentryL1nk这对用户名密码是针对ZyXELPK5001Z调制解调器的，在一份上月底的利用中被批露。

上述两个用户名密码对，被滥用的初始时间在2017-11-2211:00附近，在2017-11-23日间达到顶峰。这个时间曲线与我们在Scanmon上观察到2323/23端口的扫描曲线比较一致。

另外，蜜罐看到的滥用两个用户名密码对的IP地址，与ScanMon上看到的IP来源地址，也有较大重合：

admin/CentryL1nk:748(66.5%)对1125

admin/QwestM0dem:1175(69.4%)对1694

基于以上IP范围重合程度和时间曲线重合程度，我们认为这就是根本原因。

图1 两个正在被滥用的用户名密码对

图2 端口2323上的扫描暴涨

图2 端口2323上的扫描暴涨

恶意代码和C2

对应的恶意代码样本如下：

0ee0fc76a8d8ad37374f4ac3553d8937

018a9569f559bfafbc433dc81caf3ec0

be6165a3e131cc92d3f7d51284cf70bb

样本中的C2如下：

bigboatreps.pw:23

blacklister.nl:23

目前为止大约10万台感染机器位于阿根廷，国内也有超过5千个IP感染。

我们注意到，扫描者IP绝大多数来自阿根廷，过去24小时内有6万5千个，60小时内接近10万个。国内的感染IP也有超过5千个。

图3 绝大多数的感染机器来自阿根廷

网络安全研究院据此猜测，这次攻击针对某些特定类型的IoT设备，而这些IoT设备在阿根廷被大量部署，这次的情况跟去年德国电信相关事件的情况比较类似。

IoC

C2

bigboatreps.pw:23

blacklister.nl:23