使用DGA的僵尸网络Mirai Nomi
2024-3-19 10:32:8 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏
Mirai家族作为botnet的常青树,存在众多变种,但极少出现使用DGA的Mirai变种,据我们观测,上一个使用DGA(Domain Generation Algorithm)的Mirai变种出现于2016年。2024年3月,我们捕获到了新的可疑ELF样本,通过分析得知是另一个使用DGA的Mirai变种,分析关联的历史样本,我们不仅发现了没有使用DGA的版本(2024.02),还发现了漏洞扫描器和远控样本(2024.01),这引起我们的极大兴趣。根据下载脚本中的版本信息,我们姑且将其命名为Mirai.Nomi。

Mirai.Nomi样本具有以下特点:

  • 魔改UPX壳(修改UPX魔术头、异或原始载荷)

  • 使用时间相关的DGA并加入验证机制

  • 使用多个加密算法、哈希算法(AES、CHACHA20、MD5)

Mirai.Nomi样本中硬编码了多个公共的NTP IP,获取当前,将时间戳与604800整除,作为DGA的种子。这意味着时间种子的变化周期为7天,若获取失败,种子被赋值为"9999"

我们的数据看当前Mirai.Nomi的攻击活动并不是很活跃。也许还处于发展阶段

关于本文的详细分析,清点击下方阅读全文


文章来源: https://mp.weixin.qq.com/s?__biz=MzkxMDYzODQxNA==&mid=2247483704&idx=1&sn=557ff25cc90216275362654c04e23af2&chksm=c1292d19f65ea40f4229a612b5010999348ca3bbfcc5aab920c959751d282e6561bd4f738807&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh