长亭百川云 - 文章详情

一个新的超大规模分组的Mirai变种僵尸网络TBOT

奇安信XLab

111

2024-07-13

概述

众所周知Mirai于2016年首次被发现,它通过利用物联网设备的弱密码和漏洞来感染它们。一旦设备感染,它们将成为网络的一部分,由攻击者控制,用于大规模的分布式拒绝服务攻击。Mirai僵尸网络通常根据感染方式或者被感染设备不同将Bot分为不同的组,以便攻击者更有效地管理和控制庞大的僵尸网络。近期我们注意到一个Mirai僵尸网络居然拥有100多个Bot分组,这引起了我们极大的兴趣。根据该僵尸网络进行Telnet扫描时会执行/bin/busybox hostname TBOT这一命令的特点,我们姑且将其命名为Mirai.TBOT。Mirai.TBOT僵尸网络有以下几个特点:

  • 超多Bot分组(100+ Bot分组),意味着感染方式比较多

具备0day利用能力

  • C2使用OpenNIC自定义域名(部分样本中有32个域名,作者并没有全部注册)

  • 超大规模,2023年11月4日我们注册了上面提到的32个OpenNIC域名中的3个,结合连接这3个域名的Bot和网络流量中识别出来的该僵尸网络的Bot数量,我们能看到部分Mirai.TBOT僵尸网络的Bot数量,目前其Bot IP日活跃3万以上。

  • 主要功能为DDoS

另外国外安全研究团队Akamai SIRT近期也从他们的视角分享了他们关于这个僵尸网络的发现。我们将基于奇安信大网威胁监控数据。从我们的视角分享我们关于Mirai.TBOT僵尸网络样本、Bot规模、感染目标设备、攻击目标等几个方面的发现。

PS: 在早期(8-9月)Mirai.TBOT的C2中有一个域名是hinetlab.gopher,这似乎是在和我们所在的前团队360Netlabsay hello。

关于本文的详细分析,请点击下方阅读原文,或直接查看奇安信 xlab的博客 https://blog.xlab.qianxin.com/

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2