关于 Mirai 变种 Miori 僵尸网络大规模传播 的风险提示 本报告由国家互联网应急中心（CNCERT）与奇安信科技 集团股份有限公司（奇安信）共同发布。 一、 概述 近期，CNCERT 和奇安信共同监测发现一个新的且在互 联网上快速传播的 DDoS 僵尸网络，通过跟踪监测发现其每日 上线境内肉鸡数（以 IP 数计算）最多已超过 1 万、且每日会 针对多个攻击目标发起攻击，给网络空间带来较大威胁。该僵 尸网络为 Mirai 变种，包括针对 mips、arm、x86 等 CPU 架构 的样本，由于该僵尸网络样本均以 miori 命名，我们将其命名 为 Mirai_miori。在 2 个月的时间中，我们捕获到 Mirai_miori 僵尸网络样本至少迭代过 3 个版本，具有 9 个传播源，涉及 6 个 C2 服务器，传播方式主要为弱口令爆破以及 1 day 和 N d ay 漏洞。Mirai_miori 僵尸网络出现以来所投递的样本变动很 小，运营者将主要精力投入到漏洞搜集利用以及更换 C2 服务 器上。 二、 僵尸网络分析 （一）相关样本分析 本文选取 V2 ARM CPU 架构的样本为主要的分析对象， 1 样本的基本信息如下： 文件名 MD5 文件格式 C2 miori bfb42bb1a4b0278bf2550e943a6c9f9e ELF 32-bit LSB executable ARM 2.56.56.162 1、样本运行后在控制台上输出以下内容“your device ju st got infected to a bootnoot”，并修改进程名为" " 图 1 样本运行信息 2、遍历/proc/目录下的文件，结束掉指定进程。 图 2 结束指定进程 3、Mirai_miori 变种对 mirai 的上线机制进行了修改。第 一个包是固定四字节\x03\x00\x02\x01，第二个包是样本运行 参数长度+运行参数，缺省为\x00，一般在 shell 脚本里指定， 2 之后每 60s 发送固定 2 字节心跳包\x00\x00，若 10 秒内有收到 C2 下发的非心跳指令，则心跳包间隔时间会相应增加。 图 3 上线机制 4、DDoS 攻击方法，样本内置了 8 种 DDoS 攻击，部分 DDoS 攻击复用了 mirai 的源码。 攻击方法名称 tcp_stomp tcp_syn tcp_ack 含义 特点 ack flood 攻击变体 高 BPS 半开连接攻击，耗尽服务器资源 高 BPS 在 tcp 连接建立之后，发送带有 a 高 BPS ck 标志位的数据包。 udp_plain gre_ip gre_eth udp_ves tcp_plain tcp_stomp udp flood 攻击变体 高 BPS 修改的 greeth flood 高 BPS 基于 GRE 协议的洪水攻击 高 BPS 基于 UDP 的洪水攻击 针对受 OVH 保护的服务器 修改的 tcp flood 高 BPS ack flood 攻击变体 高 BPS 3 图 4 攻击方式 （二）传播方式分析 Mirai_miori 变种可以分为三个版本，运营者通过增加漏 洞数量并积极利用 1 day 漏洞来扩大僵尸网络规模。以 CVE2022-29591 漏洞为例，该漏洞首次披露于今年 5 月 10 日， 我们在 5 月 17 日即捕获到该漏洞利用的流量，可见该僵尸网 络运营人员对新漏洞具有较高的敏感性并具有一定的漏洞利 用能力。 V1 版本 样本自传播方式 传播源服务器攻击方 式 C2 传播源 传播时间推测 V2 版本 样本自传播方式 内容 备注 telnet 爆破 23，2323 XOR 加密，密钥：0x62 telnet 爆破 23，2323 ssh 爆破 22，2222 CVE-2017-9100 CVE-2017-17215 CVE-2019-11399 142.93.229.199 142.93.229.199 37.0.11.168 2022 年 4 月 6 日至 5 月 17 日 内容 telnet 爆破 23，2323 ssh 爆破 22，2222 4 备注 XOR 加密，弱口令增多，密钥 不变 传播源服务器攻击方 式 C2 传播源 传播时间推测 V3 版本 样本自传播方式 传播源服务器攻击方 式 C2 传播源 传播时间推测 telnet 爆破 23，2323 CVE-2017-9100 CVE-2022-29591 D-Link DIR-823G v1.02 B05 命令注入漏洞 CVE-2019-11399 Hadoop Yarn REST API 未授 权漏洞利用 Android Debug Bridge 5555 2.56.56.162 142.93.229.199 46.19.137.50 195.58.38.253 31.7.58.162 2.56.56.162 185.28.39.119 46.19.137.50 195.58.38.253 194.31.98.205 31.7.58.162 2022 年 4 月 13 日至今 内容 telnet 爆破 23，2323 备注 XOR 加密，弱口令增多，密钥 改为 0x3 ssh 爆破 22，2222 CVE-2022-22965 telnet 爆破 23，2323 NetCore 53413 后门漏洞 CVE-2022-29591 CVE-2017-9100 CVE-2017-17215 CVE-2022-29464 D-Link DIR-823G v1.02 B05 命令注入漏洞 CVE-2021-35395 Hadoop Yarn REST API 未授 权漏洞利用 179.43.156.214 179.43.156.214 2022 年 4 月 28 日至今 运营者所使用的漏洞信息： 5 漏洞 CVE-2017-9100 CVE-2017-17215 CVE-2019-11399 CVE-2021-35395 CVE-2022-29591 CVE-2022-22965 CVE-2022-29464 D-Link DIR-823G v1.02 B05 命令注入 漏洞 Hadoop Yarn REST API 未授权漏洞利 用 NetCore 53413 后门漏洞 Android Debug Bridge 5555 简介 身份认证绕过漏洞，受影响设备为固件版 本为 3.04 的 D-Link DIR-600M 设备。 华为 HG532 部分定制版本存在远程代码执 行漏洞。攻击者通过向 37215 端口发送恶 意数据包，成功利用可以导致远程代码执 行。 命令注入漏洞，受影响设备 TRENDnet TEW -651BR 2.04B1、TEW-652BRP 3.04b01 和 TEW-652BRU 1.00b12 。 Realtek Jungle SDK v2.x 至 v3.4.14B 版本中存在缓冲区溢出漏洞。 缓冲区溢出漏洞，受影响设备 Tenda TX9 Pro 22.03.02.10。 远程代码执行，在 JDK 9+ 上运行的 Spri ng MVC 或 Spring WebFlux 应用程序都可 能遭受攻击。 未经身份验证的无限制任意文件上传漏 洞，允许未经身份验证的攻击者通过上传 恶意 JSP 文件在 WSO2 服务器上获得 RC E。 攻击者可以通过 POST 的方式往 /HNAP1 发 送精心构造的请求，执行任意的操作系统 命令。 攻击者可以在未授权的情况下远程执行代 码 netcore/netis 路由器会默认监听 53413 端口（UDP），发送特定的字符串后，就可 以获得 root 权限登录。 5555 端口是安卓 adb 服务默认监听的端 口，缺乏认证过程，允许攻击者远程执行 代码。 各版本弱口令解密后内容如图 5 所示。 6 V3 V2 V1 root root default root root icatch99 root root Zte521 admin admin Admin Admin qbf77101 hexakisoctahedron root vizxv admin password root changeme root default default root taZz@23 e8ehome e8ehome ubncT ubncT default OxhlwSG8 e8telnet e8telnet root 123456 default tlJwpbo6 root ttnet user user default S2fGqNFs admin gpon root 1234 r oot root zte admin 1234 r oot r oot telecomadmin admintelecom admin admin A dmin A dmin telnet telnet root vizxv a dmin password telnetadmin telnetadmin root default default support support e8ehome e8ehome ubnt ubnt root 1001chin e8telnet e8telnet r oot 1 23456 admin aquario root ttnet user u ser default default admin gpon root 1234 root zte admin 1234 root taZz@23495859 telecomadmin admintelecom a dmin a dmin root tsgoingon telnet telnet root vizxv admin admin123 telnetadmin telnetadmin root default root GM8182 support support e8ehome e8ehome root 1001chin e8telnet e8telnet admin aquario root ttnet default default admin gpon root zte