mirai 横行物联网的恶意代码mirai分析之Mirai部分( 二 )

文章图片

mirai的Telnet连接和交互完全通过socket编程实现。如果IP设备是活动的，并且telnet端口是打开的，mirai开始尝试猜测用户密码列表。

文章图片

如果登录成功，将生成在受控设备上获得外壳。
0x05数控模块
CNC是远程指挥控制服务，是木马中常见的控制端服务程序，在mirai中的作用主要是获取控制端的相关命令。
在mirai的初始化过程中，给出了一个清晰的CNC服务器的FAKE_IP来迷惑分析师。但是实际的CNC服务器IP并没有存储在mirai中。而是先通过DNS访问IP为8.8.8.8的DNS服务器，然后从DNS服务器获取一个域名为cnc.changeme.com的IP。从而实现与数控服务器的连接。

文章图片

0x06隐藏模块
Mirai未来组合使用许多隐藏的方法来确保它不容易被发现。
第一种是隐藏args[0]，这意味着可执行文件在运行时是自己的名称。mirai生成一个随机字符串来覆盖它。

文章图片

然后更改流程名称。使用了prctl()函数。

文章图片

Mirai未来组合还加密了大量重要的密钥串，这些密钥串在文件中是不可见的。只有当它们加载到内存中需要使用时，才调用function table_unlock_val()进行解密，使用function table_retrieve_val()进行加密，使用后立即覆盖明文信息。

文章图片

Mirai未来组合在解析CNC服务器域名时也使用了反GDB调试的方法。

文章图片

为了防止米拉因设备看门狗重启而失去对设备的控制，米拉还对wtachdog进行了篡改。主要修改了dev文件夹下的看门狗文件。

文章图片

以上所有操作都使mirai能够在受害者设备上隐藏运行，并长时间控制设备，不易被移除。
综上所述，可以看出mirai的作者对Linux系统有着透彻的了解，在编译mirai样本时对信息加密和隐藏都非常谨慎，有着足够的写作经验。管理员不容易发现mirai的入侵和控制，给很多分析师带来了困难。这也是mirai跨物联网运行的主要原因。
Pr0.s表示:值得注意的是，mirai公开前后，就像打开了潘多拉的盒子，基于mirai的恶意代码家族不断繁衍。根据malwarebenchmark的初步估计，海外受控设备不下几十万台~！~!
这一点不容小觑。基于这些设备，不仅可以实施大规模的拒绝服务攻击，还可以作为中间节点和网络监控节点，进行进一步的“深度”渗透攻击...你想想，你经常链接的wifi路由都是被黑客控制的。关键机构的摄像头被黑客入侵...呵呵
订阅号中的相关文章(看完可以看)