mirai僵尸网络(1).pptx

NOTE-mirai
1
.
IOT 僵尸网络严重威胁网络基础设施安全
典型的IoT-DDoS僵尸网络包括2013年出现的CCTV系列，***MM系列（chickenMM，数字系列10771、10991、25000、36000），BillGates，Mayday，PNScan，gafgyt等众多基于Linux的跨平台DDoS僵尸网络
家族名称
变种数量
样本 HASH 数量
Trojan[DDoS]/
2
大于 100
Trojan[DDoS]/
5
大于 1000
Trojan[DDoS]/
3
大于 500
Trojan/
2
大于 50
Trojan[Backdoor]/
11
大于 1000
Trojan[DDoS]/
5
大于 500
Trojan[Backdoor]/
5
大于 3000
Trojan[Backdoor]/
5
大于 2000
Trojan[Backdoor]/
28
大于 8000
Trojan[Backdoor]/
71
大于 1000
Worm/
1
大于 10
Worm[Net]/
3
大于 10
2
.
IOT 僵尸网络严重威胁网络基础设施安全
Mirai等针对物联网设备DDoS入侵主要通过telnet端口进行流行密码档的***，或默认密码登陆，如果通过Telnet登陆成功，就尝试利用busybox等嵌入式必备的工具进行wget下载DDoS功能的bot，修改可执行属性，运行控制物联网设备。由于CPU指令架构的不同，在判断出系统架构后，一些僵尸网络可以选择MIPS、ARM，x86等架构的样本进行下载，运行后接收相关攻击指令进行攻击。
弱密码示例如下：
root
admin
user
login
guest
support
oracle
netman
operator
Administrator
cisco
telnet
device
tech
netgear
toor
oracle
netgear1
changeme
vizxv
7ujMko0vizxv
juantech
realtek
xmhdipc
hi3518
Zte521
zlxx
supervisor
smcadmin
system
dreambox
meinsm
ubnt
klv123
anko
xc3511
1234
maxided
12345
123456
default
pass
vagrant
klv1234
jvbzd
7ujMko0admin
ikwb
passowrd
3
.
IOT 僵尸网络严重威胁网络基础设施安全
DVR，网络摄像头，智能路由器产品中部分存在弱密码的品牌
4
.
IOT 僵尸网络严重威胁网络基础设施安全
Mirai源码目录结构分析
5
.
IOT 僵尸网络严重威胁网络基础设施安全
Mirai源码主要包括两部分：
1) loader：加载器，其中存放了针对各个平台编译后的可执行文件，用于加载Mirai的实际攻击程序
2) Mirai：用于实施攻击的程序，分为bot（被控制端，使用C语言编写）和cnc（控制端，使用Go语言编写）两部分
被控制端具有以下模块：
模块文件名
模块作用

用于攻击的模块，所调用的攻击子模块在其他 中定义

用于计算校验码的模块

用于结束进程的模块

用于调用其他子模块的主模块

用于生成随机数的模块

用于解析域名的模块

用于扫描的模块，可以扫描网络上可被攻击（如使用弱口令的设备）

用于存放经过加密的域名数据的模块

用于提供一些使用工具的模块
6
.
IOT 僵尸网络严重威胁网络基础设施安全
2014年之前使用Linux系统的IoT设备被植入恶意代码的方式主要是通过扫描弱密码，但在破壳漏洞（CVE-2014-6271）出现后，互联网上出现了大量利用该漏洞进行扫描并植入恶意代码的事件，针对Linux主机入侵的事件呈现全面上升的趋势。