关于 Mirai 变种僵尸网络大规模传播的风险 提示 本报告由国家互联网应急中心（CNCERT）与奇安信科技 集团股份有限公司（奇安信）共同发布。 一、 概述 近期，CNCERT 和奇安信共同监测发现一个新的且在互 联网上快速传播的 DDoS 僵尸网络，通过跟踪监测发现其每 日上线境内肉鸡数（以 IP 数计算）最多已超过 2 万、且每日 会针对多个攻击目标发起攻击，给网络空间带来较大威胁。 该僵尸网络为 Mirai 变种，包括针对 mips、arm、x86 等 CPU 架构的样本，在近 2 个月的时间中，我们捕获的该 Mirai 变 种样本至少迭代过 4 个版本，通信协议都与 Mirai 基本一 致，传播方式当前主要为 Telnet 口令爆破，历史上曾利用 Nday 漏洞进行传播。 二、 僵尸网络分析 （一）相关样本分析 本文选取最新的 V4 X86 CPU 架构的样本为主要的分析 对象，样本的基本信息如下： 文件名 MD5 文件格式 C2 gx86 02d163134e3b4eabe62497b81659c2db ELF 32-bit LSB executable, Intel 80386 103.136.42.158:16100 1 1、样本运行时文件名必须为：GSec，否则结束进程并打 印误导性声明。 图 1 样本运行信息 2、该样本复用了部分 Gafgyt 家族代码，依据目标机器是 否装 python 来修改进程名。 图 2 修改进程名 3、bot 端上线机制和 mirai 保持一致。 第一个包是固定四字节\x00\x00\x00\x01，第二个包是样 本运行参数长度+运行参数，缺省为\x00，一般在 shell 脚本里 2 指定，之后每 60s 发送固定 2 字节心跳包\x00\x00。 图 3 上线机制 4、DDoS 攻击方法 包含针对 Layer4 和 Layer7 层的攻击，包括典型的 mirai DDoS 攻击方法。 表 1 攻击方法说明 攻击方法名称 gudp 含义 特点 修改的 UDP FLOOD， 高 BPS Layer4 ovh_bypass 基于 UDP 的 Layer7 层 针对受 OVH 保护 攻击 greeth 的服务器 基于 GRE 协议，有效 高 BPS 攻击载荷在 Layer2 层 plaintcp 修改的 TCP FLOOD， 高 BPS Layer4 3 greip 修改的 greeth FLOOD 高 BPS，PPS std 修改的 UDP FLOOD 高 BPS 图 4 攻击方式 （二）传播方式分析 在该 Mirai 变种僵尸网络 V1 至 V4 版本的变化中，传播 模式里彻底剔除了漏洞传播模块，并且弱口令列表有多个版 本，可以推测僵尸网络控制者认为口令爆破效果更好，因此 更加青睐这种传播方式。 V1 版本 样本自传播方式 内容 备注 Telnet 爆破 23、2323 明文存储口令 NVMS-9000 DVR RCE 4 传播源服务器攻 击方式 Telnet 爆破 23、2323 C2 46.175.146.159 传播源 107.174.137.24 传播时间推测 V2 版本 样本自传播方式 2022-04-06 至 2022-04-21 内容 备注 Telnet 爆破 23、2323 口令加密，数量增加，包含特殊口 令 NVMS-9000 DVR RCE 传播源服务器攻 击方式 Telnet 爆破 23、2323 C2 103.136.42.158 传播源 107.174.137.24 传播时间推测 同 V1 版本 2022 年 4 月 21 日左右 V3 版本 内容 备注 样本自传播方式 Telnet 爆破 23、2323 数量增加，包含特殊口令 传播源服务器攻 Telnet 爆破 23、2323 Spring4Shell 击方式 CVE-2022-22965 C2 103.136.42.158 传播源 194.31.98.186、107.174.137.24 传播时间推测 （194.31.98.186），5 月初停止 2022 年 5 月 13 日左右 V4 版本 内容 样本自传播方式 Telnet 爆破 23、2323 传播源服务器攻 击方式 C2 传播源 传播时间推测 备注 多个版本，口令数量不同，包含特 殊口令 Telnet 爆破 23、2323 103.136.42.158 194.31.98.230、103.136.41.159、 5.255.101.44 与 V3 版本传播源 IP 不同 2022 年 4 月 27 日开始，至今活跃 在各版本口令解密后内容如图 5 所示。 5 图 5 各版本口令 三、 僵尸网络感染规模 通过监测分析发现， 2022 年 4 月 1 日至 5 月 23 日该 Mirai 变种僵尸网络日上线境内肉鸡数最高达到 2.1 万台，累计感染 肉鸡数达到 11.2 万。每日境内上线肉鸡数情况如下。 6 图 6 每日上线境内肉鸡数 该 Mirai 变种僵尸网络位于境内肉鸡按省份统计，排名前 三位的分别为浙江省（45.1%）、云南省（16.1%）和广东省（1 0.7%）；按运营商统计，电信占 93.2%，联通占 6.1%，移动占 0.4%。 肉鸡境内分布 其他 10.6% 山西 湖南 湖北2.4% 安徽2.5% 2.6% 贵州 2.7% 3.1% 肉鸡境内运营商分布 联通 6.1% 移动 0.4% 其他 0.4% 浙江 45.1% 山东 4.3% 广东 10.7% 电信 93.2% 云南 16.1% 图 7 境内肉鸡按省份和运营商分布 四、 僵尸网络攻击动态 通过跟踪监测发现，该 Mirai 变种僵尸网络自 2022 年 4 7 月 1 日起一直对外发起 DDoS 攻击，且攻击行为非常活跃。 攻击最猛烈的时候是 2022 年 5 月 16 日共发起 47 次 DDoS 攻击，2022 年 5 月 8 日曾先后调动 1.6 万台主机攻击某攻击 目标。其攻击事件趋势如下： 图 8 Mirai 变种僵尸网络攻击趋势 五、 防范建议 请广大网民强化风险意识，加强安全防范，避免不必要的 经济损失，主要建议包括：1、及时修复相关系统漏洞。2、不 使用弱密码或默认密码，定期更换密码。 当发现主机感染僵尸木马程序后，立即核实主机受控情况 和入侵途径，并对受害主机进行清理。 六、 相关 IOC 样本 MD5： 79b5152e07ac9f67f337553afd8fdf49 8 73963353779b44bce2891d11e66d0e91 4cb48ee8d5e948cfe90eb1a9a3b5111f 17659ffa9ba80830b2ec6a7e1601fd38 0c05bcb28832937369e39ee113a6be81 c6ad4c67d5b8c4b2730a187161008da3 70efbb538061fbc2c399f2437a6e0e06 ba8ccfb46737d33e3eceec65d5ea17dd 5704172e740810bd7a808d17a62a2b63 1b469287783dc5f83222c515576653f5 4c160ae988d2489b9f1c27914c1657bf 9ee59e00d14bf71c0e2f1e09c9469dd6 d9e9923f705b6a3bce4bf4ddbb9ab2ec a9f1e01e6793af26162bfe13f134a285 41dc20f7d94d11d8fceb524ff6b2391f 下载链接： http[:]//5.255.101.44/garm http[:]//5.255.101.44/garm5 http[:]//5.255.101.44/garm6 http[:]//5.255.101.44/garm7 http[:]//5.255.101.44/gmpsl http[:]//5.255.101.44/gm68k 9 http[:]//5.255.101.44/gsh4 http[:]//5.255.101.44/gppc http[:]//5.255.101.44/gx86 http[:]//5.255.101.44/gmips http[:]//103.136.41.159/garm http[:]//103.136.41.159/garm5 http[:]//103.136.41.159/garm6 http[:]//103.136.41.159/garm7 http[:]//103.136.41.159/gmpsl http[:]//103.136.41.159/gm68k http[:]//103.136.41.159/gsh4 http[:]//103.136.41.159/gppc http[:]//103.136.41.159/gx86 http[:]//103.136.41.159/gmips http[:]//194.31.98.230/garm http[:]//194.31.98.230/garm5 http[:]//194.31.98.230/garm6 http[:]//194.31.98.230/garm7 http[:]//194.31.98.230/gmpsl http[:]//194.31.98.230/gm68k http[:]//194.31.98.230/gsh4 http[:]//194.31.98.230/gppc 10 http[:]//194.31.98.230/gx86 http[:]//194.31.98.230/gmips http[:]//194.31.98.186/garm http[:]//194.31.98.186/garm5 http[:]//194.31.98.186/garm6 http[:]//194.31.98.186/garm7 http[:]//194.31.98.186/gmpsl http[:]//194.31.98.186/gm68k http[:]//194.31.98.186/gsh4 http[:]//194.31.98.186/gppc http[:]//194.31.98.186/gx86 http[:]//194.31.98.186/gmips http[:]//107.174.137.24/garm http[:]//107.174.13