62期报告汇总
安天发布《Mirai 样本分析报告》
 
      近日,安天追影小组通过整理安全事件发现了,一款以物联网设备为主要感染对象的命名为“Mirai”样本。在分析小组进行分析的过程中,发生了一起利用“Mirai”恶意代码进行攻击的DDOS攻击事件,受害方是为美国众多公司提供域名解析网络服务的Dyn公司。同时,受到影响的厂商服务包括:Twiter、Github、CNN、星巴客、纽约时报等知名网站。Dyn公司称此次DDoS攻击事件涉及IP数量达到千万量级,其中很大部分来自物联网和智能设备,并认为攻击来自名为“Mirai”的恶意代码。

      安天追影小组对Mirai的样本进行分析说明,经分析该样本为ELF格式,是运行在Linux操作系统上的恶意代码。该样本主要分为四个模块,分别为Attack模块、Kill模块、Scanner模块和CNC模块。

      Attack模块,会对某一批特定目标IP(靶机)做永真循环的数据包发送,位于僵尸网络中的大量Mirai样本受控结点通力合作,具备对目标主机进行DDoS攻击的能力。Killer模块,会禁止多个知名端口的服务,即关闭该进程并建立一个套接字绑定到该端口将其占用。Scanner模块会针对Telnet登录口令进行猜解,尝试登录到某一其他设备上并控制该设备。CNC模块的主要功能是远程命令和控制服务,是木马中常见的控制端服务程序,在Maria中的功能主要用于获取控制端的相关命令。

      Maria样本使用了很多隐藏自身的方法,以此保证自身不被轻易发现。对于大量重要的关键字符串,Maria进行了加密,因为在文件中直接搜索加密前的明文字符串是不可见的,只有加载到内存后,需要使用时,才会调用解密函数将进行解密。

      随着小到智能家居、大到智慧城市的物联网蓬勃发展,在线物联网设备数量大幅增加,该类设备一般没有经过严格的安全设计,恶意代码对其注入、进而利用其进行攻击的难度低于攻击桌面操作系。这起攻击事件也敲响了加强物联网设备安全防护的警钟。提高攻击入侵物联网设备的成本,以及加强物联网设备的安全威胁监测预警,是安天已经在进行的工作。目前,该类恶意代码可以被追影产品检出