僵尸网络Mirai家族新特性

时间 ：  2017年03月08日  来源：  安天

安天追影小组一直以来都在持续跟进监控Mirai的动态，并且通过对Mirai的bot被控端样本进行整理分析发现Mirai又有了新的特性。虽然Mirai botnet还是依旧坚持走IoT路线，但是为了获取更多的IoT设备进行感染，已经有黑产组织对Mirai源码进行改造，将SCANNER模块分开拓展到了Windows系列上，而且SCANNER在功能上也有所增加，从目前监控到的新版数据分析，Mirai黑产组织部署该Windows版本bot被控端已有一个多月时间。

分析介绍：

分析发现，Mirai家族Windows scanner_bot主要功能分为3个：
1、Telnet扫描：与elf类型的bot被控端一样，通过自身硬编码内获取IP网段进行扫描探测23端口的状态，然后解密硬编码的数据获取用户名及密码对开放的端口进行爆破，当爆破成功之后bot被控端则向控制端发送IP+Port+usr+psw。
2、SSH扫描：SSH 22端口爆破与telnet扫描爆破方法相同，区别是ssh的端口号为22。
3、SQL扫描:SQL scanner主要是SQL注入功能，通过SQL注入获取的数据价值比Telnet、SSH爆破出来数据价值高，因为通过SQL注入获取到数据库中的信息中可能连接有大量的IoT设备信息，如摄像头、Drv、媒体中心软件及其他内网设备，通过数据库中的设备信息进一步获取其权限并择机向IoT设备推送感染elf类型的Mirai bot被控端。SQL注入功能也是Mirai新家族升级后的最大亮点，目前通过分析发现被注入的数据库类型为微软的SQL SERVER数据库。

Mirai家族基本包含了Gafgyt家族的所有功能特性，Mirai不仅实现了Telnet、SSH网段扫描爆破，而且在此基础上，拓展了指定端口扫描探测如7547、48101、5555、6789等，并利用端口服务存在的远程执行漏洞实现bot被控端感染，以及实现拓展到Windows bot。

总结：

Mirai家族的魔爪已经不再局限于linux环境，也不再局限于Telnet、SSH扫描爆破，该家族已经开始利用Windows操作系统潜在的botnet资源环境和SQL注入的潜在价值，实现其在Windows 环境下的传播，而SQL扫描注入和SQL资源利用有助于Mirai botnet迅速的传播和层次化管控的优化，对于Mirai的防范，不能仅局限于完善Telnet，SSH等账号管控，更需要提高对数据库的安全防范，及时更新数据库版本修补漏洞，避免被SQL注入。

MD5:

93ccd8225c8695cade5535726b0dd0b6

参考链接:

https://securelist.com/blog/research/77621/newish-mirai-spreader-poses-new-risks/