长亭百川云 - 文章详情

Rimasuta新变种出现,改用ChaCha20加密

奇安信XLab

55

2024-07-13

两年前,2021年6月360netlab捕获到一个全新的mirai变种,根据使用的TEA算法给它取名为mirai_ptea,没想到在向社区公布了该变种之后,作者在随后更新的样本里吐槽了360netlab的命名:

“-_- you guys didnt pick up on the name? really??? its RI-MA-SU-TA. not MIRAI_PTEA this is dumb name.”

鉴于作者吐槽,360netlab也是将后续命名更改为Mirai_ptea_Rimasuta。当时以为又是一个生命短暂的僵尸网络,然而在最近的botnet观测中,rimasuta再次回到了我们的视野。

rimasuta的整体架构没有发生变化,比如通信过程就延用了之前的设计思路,采用Tor Proxy进行通信,但在加密算法、协议格式等方面发生了改变。本文通过对rimasuta新变种的分析,尝试为这个活跃了三年的botnet勾勒出一条时间线,方便社区了解。

时间线

  • 2021年6月22日360netlab观察到mirai_ptea利用KGUARD DVR漏洞开始传播

  • 2021年6月23日360netlab发现安全社区披露mirai_ptea开始进行DDoS攻击

  • 2021年9月5日360netlab观察到mirai_ptea_rimasuta开始利用RUIJIE路由器0-day传播

  • 2023年4/8月我们捕获到两个rimasuta变种,加密方式改用chacha20算法

  • 2023年10月24日rimasuta使用一个疑似0Day的漏洞开始新一轮分发,chacha20的key/nonce发生改变

  • 2023年10月26日rimasuta快速更新,修改字符串hash计算方法为fasthash算法

关于本文的详细分析,请点击下方阅读原文,或直接查看奇安信 xlab的博客 https://blog.xlab.qianxin.com/

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2