大约60个小时以前,从2017-11-2211:00开始,国内网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者,大约10万个扫描IP地址位于阿根廷,同时网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后,目前比较确定这是一个新的Mirai变种。
根因分析
在我们蜜罐中,最近有两个新的用户名密码被频繁使用到,分别是admin/CentryL1nk和admin/QwestM0dem。值得一提,admin/CentryL1nk这对用户名密码是针对ZyXELPK5001Z调制解调器的,在一份上月底的利用中被批露。
上述两个用户名密码对,被滥用的初始时间在2017-11-2211:00附近,在2017-11-23日间达到顶峰。这个时间曲线与我们在Scanmon上观察到2323/23端口的扫描曲线比较一致。
另外,蜜罐看到的滥用两个用户名密码对的IP地址,与ScanMon上看到的IP来源地址,也有较大重合:
admin/CentryL1nk:748(66.5%)对1125
admin/QwestM0dem:1175(69.4%)对1694
基于以上IP范围重合程度和时间曲线重合程度,我们认为这就是根本原因。
图1 两个正在被滥用的用户名密码对
图2 端口2323上的扫描暴涨
图2 端口2323上的扫描暴涨
恶意代码和C2
对应的恶意代码样本如下:
0ee0fc76a8d8ad37374f4ac3553d8937
018a9569f559bfafbc433dc81caf3ec0
be6165a3e131cc92d3f7d51284cf70bb
样本中的C2如下:
bigboatreps.pw:23
blacklister.nl:23
目前为止大约10万台感染机器位于阿根廷,国内也有超过5千个IP感染。
我们注意到,扫描者IP绝大多数来自阿根廷,过去24小时内有6万5千个,60小时内接近10万个。国内的感染IP也有超过5千个。
图3 绝大多数的感染机器来自阿根廷
网络安全研究院据此猜测,这次攻击针对某些特定类型的IoT设备,而这些IoT设备在阿根廷被大量部署,这次的情况跟去年德国电信相关事件的情况比较类似。
IoC
C2
bigboatreps.pw:23
blacklister.nl:23