一个新的超大规模分组的Mirai变种僵尸网络TBOT

预览

概述

众所周知Mirai于2016年首次被发现，它通过利用物联网设备的弱密码和漏洞来感染它们。一旦设备感染，它们将成为网络的一部分，由攻击者控制，用于大规模的分布式拒绝服务攻击。Mirai僵尸网络通常根据感染方式或者被感染设备不同将Bot分为不同的组，以便攻击者更有效地管理和控制庞大的僵尸网络。近期我们注意到一个Mirai僵尸网络居然拥有100多个Bot分组，这引起了我们极大的兴趣。根据该僵尸网络进行Telnet扫描时会执行/bin/busybox hostname TBOT这一命令的特点，我们姑且将其命名为Mirai.TBOT。Mirai.TBOT僵尸网络有以下几个特点：

• 超多Bot分组（100+ Bot分组），意味着感染方式比较多

具备0day利用能力

• C2使用OpenNIC自定义域名（部分样本中有32个域名，作者并没有全部注册）

• 超大规模，2023年11月4日我们注册了上面提到的32个OpenNIC域名中的3个，结合连接这3个域名的Bot和网络流量中识别出来的该僵尸网络的Bot数量，我们能看到部分Mirai.TBOT僵尸网络的Bot数量，目前其Bot IP日活跃3万以上。

• 主要功能为DDoS

另外国外安全研究团队Akamai SIRT近期也从他们的视角分享了他们关于这个僵尸网络的发现。我们将基于奇安信大网威胁监控数据。从我们的视角分享我们关于Mirai.TBOT僵尸网络样本、Bot规模、感染目标设备、攻击目标等几个方面的发现。

PS: 在早期（8-9月）Mirai.TBOT的C2中有一个域名是hinetlab.gopher，这似乎是在和我们所在的前团队360Netlabsay hello。

关于本文的详细分析，请点击下方阅读原文，或直接查看奇安信 xlab的博客 https://blog.xlab.qianxin.com/