概述
众所周知Mirai于2016年首次被发现,它通过利用物联网设备的弱密码和漏洞来感染它们。一旦设备感染,它们将成为网络的一部分,由攻击者控制,用于大规模的分布式拒绝服务攻击。Mirai僵尸网络通常根据感染方式或者被感染设备不同将Bot分为不同的组,以便攻击者更有效地管理和控制庞大的僵尸网络。近期我们注意到一个Mirai僵尸网络居然拥有100多个Bot分组,这引起了我们极大的兴趣。根据该僵尸网络进行Telnet扫描时会执行/bin/busybox hostname TBOT这一命令的特点,我们姑且将其命名为Mirai.TBOT。Mirai.TBOT僵尸网络有以下几个特点:
具备0day利用能力
C2使用OpenNIC自定义域名(部分样本中有32个域名,作者并没有全部注册)
超大规模,2023年11月4日我们注册了上面提到的32个OpenNIC域名中的3个,结合连接这3个域名的Bot和网络流量中识别出来的该僵尸网络的Bot数量,我们能看到部分Mirai.TBOT僵尸网络的Bot数量,目前其Bot IP日活跃3万以上。
主要功能为DDoS
另外国外安全研究团队Akamai SIRT近期也从他们的视角分享了他们关于这个僵尸网络的发现。我们将基于奇安信大网威胁监控数据。从我们的视角分享我们关于Mirai.TBOT僵尸网络样本、Bot规模、感染目标设备、攻击目标等几个方面的发现。
PS: 在早期(8-9月)Mirai.TBOT的C2中有一个域名是hinetlab.gopher,这似乎是在和我们所在的前团队360Netlabsay hello。
关于本文的详细分析,请点击下方阅读原文,或直接查看奇安信 xlab的博客 https://blog.xlab.qianxin.com/