Mirai是最著名的IoT恶意软件之一，近期研究表明犯罪分子仍在不断开发和使用该恶意软件。

在发现Mirai变种Miori之后一个月，研究人员又发现一个新的Mirai样本。与之前的Mirai变种类似，它允许攻击者通过暴露的端口和IoT设备中的默认凭证来远程访问和控制，攻击者可以用受感染的设备通过UDP洪泛等方式发起DDOS攻击。与之前的变种相比，研究人员发现该样本将C2服务器隐藏在Tor网络中实现匿名化。将恶意C2服务器隐藏在无法报告和下线的暗网中逐渐成为IOT恶意软件的一种趋势，网络安全研究人员、企业和用户需要警惕这一趋势并着手应对。

Socks5协议和配置

一般的Mirai变种又1~4个C2服务器，本变种样本中又30个硬编码的IP地址。研究人员在沙箱环境中分析了恶意软件样本与服务器之间的通信。通过执行样本，样本会发送一个socks5协议初始握手消息——一个特定的序列05 01 00。然后研究人员将该消息发送到服务器并获得socs5响应05 00，确认这是到Tor网络的socks代理。Shodan扫描结果也表明有socks代理运行在服务器上。

 图1. Shodan扫描结果也表明有socks代理运行在服务器上

进一步分析表明恶意软件会从代理列表中随机选择一个服务器，以含有socks5的连接来说，并查询来实现到C2服务器地址nd3rwzslqhxibkl7[.]onion:1356的包中继。如果中继连接建立失败，就会尝试用另一个代理服务器处理。在测试环境中通过Tor代理连接到C2服务器之后，研究人员确认返回的是攻击者的登陆提示，与之前按Mirai变种返回的相同。

与之前的Mirai变种类似，配置值是用XOR和0x22(34)加密的，并潜入在二进制文件中。解密后，研究人员发现了可以识别该变种名的字符串LONGNOSE: applet not found。

感染、传播和DDOS命令

研究人员发现该样本会在TCP端口9527和34567来扫描随机的IP地址，这可能是IP摄像机和DVR用来远程访问和控制的端口。配置数据包括用来感染其他主机的默认凭证。

图2. 样本发往端口 9527的命令

图3. 样本发往端口34567的信息

通过分析样本使用的通信协议，研究人员发现除了使用socks5连接外，其他都是典型的Mirai变种协议。研究人员还发现一个字节序列表明是来自C2服务器的DDOS命令，针对特定IP地址发起UDP洪泛攻击。

图4. 解密的来自C2服务器的ddos命令相关样本

通过查找相关的样本和信息，研究人员发现了该开放源还保存了适用于其他设备架构的样本。

图5. 分发服务器的开放目录

结论

该Mirai样本的最大特征就是将C2服务器放置在Tor网络中来绕过IP地址追踪并防止域名被拉黑。在2017年有一款恶意软件BrickerBot也使用了类似的技术，BrickerBot在入侵IoT设备后会将设备变种，防止被Mirai感染，在感染1000万设备后作者宣布退出。

虽然之前也有报道称恶意软件开发者将C2隐藏在Tor网络中，研究人员这在未来的IoT恶意软件家族中会成为一种趋势。由于Tor网络的环境，服务器的匿名性，会让恶意软件创建者和C2服务器所有者无法追踪。而且网络流量可以伪装为合法应用，而且是加密的，因此难以被AV产品拦截。

本文翻译自：https://blog.trendmicro.com/trendlabs-security-intelligence/keeping-a-hidden-identity-mirai-ccs-in-tor-network/如若转载，请注明原文地址： https://www.4hou.com/info/news/19515.html