两年前,2021年6月360netlab捕获到一个全新的mirai变种,根据使用的TEA算法给它取名为mirai_ptea,没想到在向社区公布了该变种之后,作者在随后更新的样本里吐槽了360netlab的命名:
“-_- you guys didnt pick up on the name? really??? its RI-MA-SU-TA. not MIRAI_PTEA this is dumb name.”
鉴于作者吐槽,360netlab也是将后续命名更改为Mirai_ptea_Rimasuta。当时以为又是一个生命短暂的僵尸网络,然而在最近的botnet观测中,rimasuta再次回到了我们的视野。
rimasuta的整体架构没有发生变化,比如通信过程就延用了之前的设计思路,采用Tor Proxy进行通信,但在加密算法、协议格式等方面发生了改变。本文通过对rimasuta新变种的分析,尝试为这个活跃了三年的botnet勾勒出一条时间线,方便社区了解。
时间线
2021年6月22日360netlab观察到mirai_ptea利用KGUARD DVR漏洞开始传播
2021年6月23日360netlab发现安全社区披露mirai_ptea开始进行DDoS攻击
2021年9月5日360netlab观察到mirai_ptea_rimasuta开始利用RUIJIE路由器0-day传播
2023年4/8月我们捕获到两个rimasuta变种,加密方式改用chacha20算法
2023年10月24日rimasuta使用一个疑似0Day的漏洞开始新一轮分发,chacha20的key/nonce发生改变
2023年10月26日rimasuta快速更新,修改字符串hash计算方法为fasthash算法
关于本文的详细分析,请点击下方阅读原文,或直接查看奇安信 xlab的博客 https://blog.xlab.qianxin.com/