LoliMashiro
二次元真是太美好了呜~~
LoliMashiro

什么是Mirai僵尸网络

什么是Mirai僵尸网络

Mirai僵尸网络

IoT僵尸网络是利用路由器、摄像头等设备的漏洞,将僵尸程序传播到互联网,感染并控制大批在线主机,从而形成具有规模的僵尸网络。
近年来,基于物联网设备的僵尸网络S呈现增长性趋势,曾导致美国断网的Mirai僵尸网络,是由大量可受控物联网设备组成的庞大网络,其由于在2016年导致美国大范围网络瘫痪而名噪一时。受影响最严重的国家是墨西哥,然后是中国、美国、巴西和土耳其。

Mirai时间线

Mirai僵尸网络的成长非常快,最早出现在2016年8月但是直到2016年9月中旬,Mirai才以针对Krebs的大规模DDoS攻击占据了新闻头条,到了2016年10月21日首先把美国打“断网”。而这之后,Mirai连续发动了针对新加坡、利比里亚、德国的DDoS攻击。

https://mashiro-s-cdn.oss-cn-chengdu.aliyuncs.com/uploads/img/mirai-timeline.png

在美国断网事件中,美国域名解析服务提供商Dyn公司遭到了严重的DDo攻击,造成了美国东部大面积的网络瘫痪,包括Twitter、Facebook在内的多家美国网站无法通过域名访问。而造成半个美国互联网瘫痪的罪魁祸首,则是Mirai僵尸网络控制下的数以10万计的物联网设备。

Mirai的网络架构

https://mashiro-s-cdn.oss-cn-chengdu.aliyuncs.com/uploads/img/mirai-j.png
  1. Mirai首先进入了一个快速扫描阶段,扫描阶段会使用已感染的 bots 进行随机扫描。在这个阶段中,它以异步和“无状态”的方式将TCP SYN探针发送到除了硬编码IP黑名单中的地址以外的Telnet TCP/22和TCP/23上的伪随机IPv4地址。(硬编码是将数据直接嵌入到程序或其他可执行对象的源代码中的软件开发实践,与从外部获取数据或在运行时生成数据不同。)
  2. 如果Mirai识别出一个潜在的受害者,它就会进入暴力登录阶段,在这个阶段,它试图使用从预先配置的62个凭据列表中随机选择的10个用户名和密码对建立Telnet连接。第一次成功登录时,Mirai将受害者IP和相关凭据发送到硬编码报表服务器。一旦暴力破解弱口令成功,Bots 会将暴破成功的设备信息发送给 Report Server。
  3. 恶意代码加载阶段,由 Report Server 向 Loader Server发送加载恶意代码的命令,加载成功后会将易感染的设备作为新的 bots 去进行随机扫描感染下一批设备。一个单独的加载程序通过登录、确定底层系统环境,最后下载并执行特定于体系结构的恶意软件,异步地影响这些易受攻击的设备。 成功感染后,Mirai会删除下载的二进制文件并将其进程名融合到伪随机字母数字字符串中来隐藏自身的存在。因此,Mirai感染不会在系统重启期间持续存在。为了增强自身能力,恶意软件还杀死了绑定到TCP/22或TCP/23的其他进程,以及与竞争感染相关的进程,此时,bots从命令和控制服务器监听攻击命令,同时扫描新的受害者。

检测方式

传统僵尸网络检测方法主要有3种,基于异常的检测、基于DNS流量的检测和基于蜜罐的检测。

蜜罐

为了跟踪Mirai功能的演变,这篇论文收集了安装在一组蜜罐上的二进制文件进行试验。蜜罐是一种被密切监控的网络诱饵,蜜罐有多种形式,通常以模拟某种有漏洞的系统服务作为诱饵,用来吸引攻击者,从而为真实系统提供有关攻击的类型与攻击倾向的数据。同时,通过分析被攻击过的蜜罐,能够对攻击者的行为进行深入分析。
按照可交互程度,蜜罐可分为:低交互蜜罐、中交互蜜罐和高交互蜜罐。

基于蜜罐的检测方式

基于蜜罐的检测方法是指通过在网络中部署蜜罐,收集所有尝试连接到蜜罐的网络节点信息,并从收集到的日志、文件等内容,通过攻击者设备指纹、网络拓扑信息、设备安全漏洞、攻击者实用工具、攻击者意图等信息,识别出攻击者特定的行为模式及网络节点的检测方法。蜜罐通常在可控环境中单独部署,与正常使用的系统进行隔离,不影响正常系统的同时保证了安全性,并且蜜罐捕捉的数据均具有针对性,相对而言纯度更高,更加集中,并且不会为正常系统带来额外的负担。 基于蜜罐获得的高保真高质量的数据集有效避免了以往海量日志分析的繁琐过程,并且对于蜜罐的任何连接访问都是攻击信息,不再像以前的特征分析具有一定的滞后性,可以有效的用于捕获新型的攻击和方法。 为了能够实现对于Mirai僵尸网络的攻击追踪,蜜罐系统需要具备以下几个功能:

  1. 能够监控系统本身的行为,对于蜜罐本身的系统操作和进程进行监控。
  2. 能够监控蜜罐的网络流量,为了实现对于DDoS攻击的指令的追踪,需要对于蜜罐全端口的进出口流量进行监控,并同时能够实现对于数据包的分析。
  3. 能够规范化的处理日志,由于恶意代码在传播完成后一般都会删除自身,因此蜜罐需要对短期内删除的文件有恢复的功能。

如何防止Mirai感染

Mirai一直在变种,新变种比原始版本更为灵活,可以利用更广泛的目标,包括企业级无线控制器、无线演示系统和数字标牌等。统计数字显示,被 Mirai 新变种所感染的物联网设备约占 21 %。 那该采取什么样的措施来防止感染呢? 首先,清点所有连接到其网络的物联网设备。 其次,全面更改默认密码。 再有,确保连接到网上的每个设备都在采用最新补丁。 最后,创建一个包括防火墙、VPN、防病毒和反恶意软件的整套防御策略,甚至可聘请第三方安全专家来确保企业系统的稳固安全。而没有内部 IT 部门的公司应该召集一名安全专家来应对 Mirai 的巨大威胁。

总结

以上详细介绍了Mirai僵尸网络网络结构以及追踪方法。虽然蜜罐对于检测Mirai很有效,但是由于Mirai代码开源导致其不断变种,如何应对Mirai僵尸网络的依旧是今后进一步的研究方向。

下篇文章介绍如何搭建Mira-Botnet。

lolimashiro

文章作者

发表回复

textsms
account_circle
email

LoliMashiro

什么是Mirai僵尸网络
Mirai僵尸网络 IoT僵尸网络是利用路由器、摄像头等设备的漏洞,将僵尸程序传播到互联网,感染并控制大批在线主机,从而形成具有规模的僵尸网络。近年来,基于物联网设备的僵尸网络S呈…
扫描二维码继续阅读
2022-10-03