陳亞亮，戴沁蕓，吳海燕，魏征

（1. 上海交通大學(xué)信息安全工程學(xué)院，上海 200240；2. 國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心上海分中心，上海 201315）

Mirai僵尸網(wǎng)絡(luò)惡意程序分析和監(jiān)測數(shù)據(jù)研究

陳亞亮1,2，戴沁蕓2，吳海燕2，魏征2

（1. 上海交通大學(xué)信息安全工程學(xué)院，上海 200240；2. 國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心上海分中心，上海 201315）

近年來，隨著物聯(lián)網(wǎng)的興起，以僵尸網(wǎng)絡(luò)為代表的惡意程序正在逐漸向物聯(lián)網(wǎng)領(lǐng)域滲透，已經(jīng)出現(xiàn)利用物聯(lián)網(wǎng)脆弱的安全防護(hù)進(jìn)行傳播并發(fā)動拒絕服務(wù)攻擊的惡意代碼。首先介紹了Mirai僵尸網(wǎng)絡(luò)的整體架構(gòu)，對其受控端和控制端等多個組件的主要功能進(jìn)行了研究；然后對通過主動和被動方式獲取的監(jiān)測數(shù)據(jù)展開分析，并在此基礎(chǔ)上，對Mirai僵尸網(wǎng)絡(luò)惡意程序的監(jiān)測發(fā)現(xiàn)和應(yīng)對建議進(jìn)行了討論。

僵尸網(wǎng)絡(luò)；惡意程序；Mirai；Shodan；TR-064

1 引言

僵尸網(wǎng)絡(luò)是由大量被僵尸程序感染的受控端設(shè)備（Bot）和由攻擊者管理的控制服務(wù)器（C&C）組成的攻擊網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)惡意程序由來已久，其融合了木馬的植入和控制技術(shù)、蠕蟲的大范圍傳播感染技術(shù)，從歷史上看，可以將其分為以IRC協(xié)議[1]進(jìn)行通信的初創(chuàng)階段、以HTTP和P2P進(jìn)行通信的發(fā)展階段、以Domain Flux[2]和URL Flux[3]等技術(shù)為代表的對抗階段，以及移動互聯(lián)網(wǎng)設(shè)備和物聯(lián)網(wǎng)為主要攻擊目標(biāo)的融合階段。Mirai僵尸網(wǎng)絡(luò)惡意程序是融合階段的重要代表，該惡意程序及其變種直接導(dǎo)致了2016年底美國和德國的大規(guī)模網(wǎng)絡(luò)癱瘓。

為了掌握Mirai僵尸網(wǎng)絡(luò)的攻擊態(tài)勢，遏制其在中國境內(nèi)的蔓延，國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心上海分中心（簡稱“上?；ヂ?lián)網(wǎng)應(yīng)急中心”）在國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡稱“國家互聯(lián)網(wǎng)應(yīng)急中心”）的指導(dǎo)下深度參與上海地區(qū)Mirai僵尸網(wǎng)絡(luò)的應(yīng)急處置工作。本文結(jié)合國家互聯(lián)網(wǎng)應(yīng)急中心及上?；ヂ?lián)網(wǎng)應(yīng)急中心應(yīng)急支撐體系前期的技術(shù)積累及工作，從源代碼及樣本、變種演化情況、多方監(jiān)測數(shù)據(jù)等多個維度展開分析，并結(jié)合處置方式提出應(yīng)對建議。

1.1 攻擊情況概述

2016年10月21日上午，美國互聯(lián)網(wǎng)域名解析服務(wù)商Dyn公司遭遇大規(guī)模拒絕服務(wù)攻擊，攻擊流量高達(dá)1.2 Tbit/s，造成包括Twitter、Facebook、Paypal、GitHub、華爾街日報網(wǎng)站在內(nèi)的大量網(wǎng)站域名無法被正確解析，從而導(dǎo)致用戶無法登錄系統(tǒng)或訪問站點(diǎn)。這一事件的元兇之一，就是被稱為Mirai的僵尸網(wǎng)絡(luò)。

2016年11月28日，德國電信遭遇大范圍網(wǎng)絡(luò)故障，約90萬臺路由器無法聯(lián)網(wǎng)。德國電信確認(rèn)問題后，要求設(shè)備供應(yīng)商提供新的固件升級包，建議用戶斷電重啟路由器，并安裝固件升級包，德國電信還采取了一系列的過濾措施保證升級過程不受攻擊影響。該攻擊為Mirai惡意程序變種導(dǎo)致，在相關(guān)感染的樣本中發(fā)現(xiàn)了與Mirai僵尸網(wǎng)絡(luò)惡意程序相同的代碼。

1.2 事件時間線

2016年8月31日，安全博客MalwareMustDie發(fā)布了一篇關(guān)于Mirai惡意程序的逆向分析報告[4]，Mirai僵尸網(wǎng)絡(luò)第一次進(jìn)入公眾視野。

2016年9月30日，Hackforums的論壇用戶“Anna-senpai”放出了Mirai的源碼[5]，稱受感染的物聯(lián)網(wǎng)設(shè)備正在被緩慢清理，其手上的僵尸網(wǎng)絡(luò)規(guī)模已經(jīng)下降到30萬臺主機(jī)。

2016年10月21日，美國域名服務(wù)商Dyn遭受大規(guī)模DDoS攻擊，造成包括Twitter、Facebook在內(nèi)的多家美國網(wǎng)站無法被正確解析，進(jìn)而造成半個美國的網(wǎng)絡(luò)癱瘓。

2016年11月7日，安全研究員Kenzo發(fā)布了一個針對7547端口上路由器等設(shè)備的TR-069/TR-064相關(guān)的安全公告[6]。

2016年11月28日，德國電信累積約90萬個路由器遭受Mirai僵尸網(wǎng)絡(luò)新變種的攻擊，網(wǎng)絡(luò)大面積癱瘓。

2017年2月8日，俄羅斯殺毒軟件制造商Dr. Web發(fā)布了Windows版本的Mirai惡意程序的分析報告[7]，該變種可以感染W(wǎng)indows平臺主機(jī)微軟主機(jī)和嵌入式Linux系統(tǒng)的物聯(lián)網(wǎng)設(shè)備。

1.3 影響范圍及危害

由于Mirai僵尸網(wǎng)絡(luò)惡意程序影響范圍廣、潛在危害大，該惡意程序在未來的1～2年會一直得到廣泛關(guān)注。

Mirai僵尸網(wǎng)絡(luò)惡意程序的攻擊目標(biāo)包括所有主流的操作系統(tǒng)，從嵌入式設(shè)備的Linux操作系統(tǒng)到桌面服務(wù)器的Windows操作系統(tǒng)，覆蓋面廣泛。攻擊向量也從最先的單純?nèi)蹩诹顠呙柚饾u演化到利用應(yīng)用漏洞進(jìn)行攻擊。無論是從攻擊目標(biāo)看，還是從攻擊范圍看，Mirai僵尸網(wǎng)絡(luò)惡意程序的影響范圍都是巨大的。

隨著物聯(lián)網(wǎng)的興起，拒絕服務(wù)攻擊作為一種傳統(tǒng)的互聯(lián)網(wǎng)攻擊手段，正在逐漸向物聯(lián)網(wǎng)領(lǐng)域滲透。根據(jù)Gartner公司的統(tǒng)計[8]，2016年，全球物聯(lián)網(wǎng)設(shè)備數(shù)量為63.8億臺，預(yù)計2020年將達(dá)到204億臺。而Mirai僵尸網(wǎng)絡(luò)規(guī)模僅利用3×104余臺受控端發(fā)出的攻擊流量就能達(dá)到1 Tbit/s的攻擊流量，如果未來大規(guī)模的物聯(lián)網(wǎng)設(shè)備感染類似惡意程序，形成僵尸網(wǎng)絡(luò)，造成的攻擊流量足以令全球互聯(lián)網(wǎng)癱瘓。

2 惡意程序分析

本節(jié)依據(jù)惡意程序制作者通過網(wǎng)絡(luò)論壇發(fā)布并上傳到Github的源代碼，對Mirai僵尸網(wǎng)絡(luò)惡意程序代碼進(jìn)行靜態(tài)分析，同時編譯部分代碼并模擬運(yùn)行，對動態(tài)運(yùn)行結(jié)果進(jìn)行跟蹤，最終整合動態(tài)和靜態(tài)分析情況，完成對Mirai僵尸網(wǎng)絡(luò)惡意程序的分析。

2.1 原始惡意程序分析

2.1.1 整體架構(gòu)

Mirai僵尸網(wǎng)絡(luò)惡意程序的運(yùn)行結(jié)構(gòu)可以分為3部分：Bot僵尸網(wǎng)絡(luò)受控端、Loader加載服務(wù)器、C&C僵尸網(wǎng)絡(luò)控制服務(wù)器，如圖1所示，其主要功能如下。

Bot僵尸網(wǎng)絡(luò)受控端：實(shí)現(xiàn)反調(diào)試、隱藏自身進(jìn)程、設(shè)置初始的域名端口值、設(shè)置默認(rèn)弱口令、網(wǎng)絡(luò)連接及DDoS攻擊功能。

Loader加載服務(wù)器：登錄被爆破的脆弱主機(jī)，加載并運(yùn)行引導(dǎo)程序，下載Mirai主程序?qū)崿F(xiàn)惡意程序的植入。

C&C僵尸網(wǎng)絡(luò)控制服務(wù)器：對成功感染的Bot進(jìn)行監(jiān)控，僵尸網(wǎng)絡(luò)使用者通過控制接口向Bot下發(fā)攻擊指令，控制僵尸網(wǎng)絡(luò)發(fā)動DDoS攻擊。

圖1 Mirai僵尸網(wǎng)絡(luò)惡意程序整體架構(gòu)

2.1.2 僵尸網(wǎng)絡(luò)受控端分析

僵尸網(wǎng)絡(luò)受控端的主要功能是掃描潛在開放Telnet網(wǎng)絡(luò)服務(wù)的設(shè)備，將成功破解的設(shè)備地址、用戶名、密碼等信息上報給攻擊者，接受C&C僵尸網(wǎng)絡(luò)控制服務(wù)器的命令發(fā)起攻擊，其代碼劃分為以下幾個模塊。

1) 主函數(shù)模塊

主函數(shù)模塊主要完成防止設(shè)備重啟、防止多實(shí)例運(yùn)行、受控端上線并保持連接等功能。

Mirai僵尸網(wǎng)絡(luò)惡意程序的感染目標(biāo)主要為物聯(lián)網(wǎng)的嵌入式設(shè)備，因此惡意程序無法將自身寫入設(shè)備固件中，只能存在于內(nèi)存中，一旦設(shè)備重啟，惡意程序就會消失。嵌入式設(shè)備的重啟功能主要通過“看門狗”程序[9]實(shí)現(xiàn)，在設(shè)備正常運(yùn)行時，需要不斷向該程序發(fā)送確認(rèn)消息；而運(yùn)行異常時，通過向該程序發(fā)送控制指令，即可命令設(shè)備重啟。Mirai僵尸網(wǎng)絡(luò)惡意程序通過向“看門狗”程序發(fā)送控制碼0x80045704防止設(shè)備異常重啟。

Mirai惡意程序會嘗試綁定并監(jiān)聽48101端口，如果失敗，便會關(guān)閉已經(jīng)使用此端口的進(jìn)程并重新嘗試，從而形成一種互斥機(jī)制，防止同一個設(shè)備上運(yùn)行多個實(shí)例，這也是檢測是否感染Mirai惡意程序的重要方法。

在完成獨(dú)占運(yùn)行、攻擊初始化等步驟后，Bot僵尸網(wǎng)絡(luò)受控端會連接C&C僵尸網(wǎng)絡(luò)控制服務(wù)器，在僵尸網(wǎng)絡(luò)中上線；未收到控制服務(wù)器的攻擊指令時，Bot默認(rèn)每隔60 s與控制服務(wù)器溝通一次。

2) attack模塊

attack模塊主要用于解析C&C控制服務(wù)器下發(fā)的攻擊命令并發(fā)動拒絕服務(wù)攻擊，具體攻擊函數(shù)如表1所示。

表1 攻擊函數(shù)

3) scanner模塊

scanner模塊主要功能是掃描其他可能受感染的設(shè)備，具體流程為：首先生成隨機(jī)IP，然后隨機(jī)選擇字典中的用戶名密碼組合進(jìn)行telnet登錄測試，如果掃描的隨機(jī)IP有回應(yīng)，則建立正式連接，并上報成功的掃描結(jié)果，表2展示字典中的用戶名密碼組合。

表2 用戶名密碼組合

4) killer模塊

killer模塊主要有2個作用：一是查找特定端口對應(yīng)的進(jìn)程并將其關(guān)閉，然后占用該端口；二是查找特定進(jìn)程的對應(yīng)路徑，并刪除文件。

2.1.3 加載服務(wù)器分析

Bot僵尸網(wǎng)絡(luò)受控端掃描后的結(jié)果會發(fā)送到掃描結(jié)果接收服務(wù)器，經(jīng)處理后將具體設(shè)備信息以特定格式傳遞給Loader加載服務(wù)器，對設(shè)備實(shí)施感染，感染過程主要包括以下幾步。

1) 通過待感染節(jié)點(diǎn)的telnet用戶名和密碼成功登錄。

2) 執(zhí)行“/bin/busybox ps”命令，根據(jù)返回結(jié)果關(guān)閉某些特殊進(jìn)程。

3) 執(zhí)行“/bin/busybox cat /proc/mounts”，根據(jù)返回結(jié)果切換到可寫目錄。

4) 如果發(fā)現(xiàn)可用于讀寫的文件目錄，進(jìn)入該目錄并將“/bin/echo”復(fù)制到該目錄，文件更名為dvrHelpler，并開啟所有用戶的讀寫執(zhí)行權(quán)限。

5) 執(zhí)行“/bin/busybox cat /bin/echo”，通過返回結(jié)果解析“/bin/echo”這個ELF文件的頭部判斷體系架構(gòu)，即其中的e_machine字段。

6) 根據(jù)不同的體系架構(gòu)，選擇一種方式上傳對應(yīng)的惡意程序文件。

7) 執(zhí)行惡意程序并清理。

2.1.4 僵尸網(wǎng)絡(luò)控制服務(wù)器分析

C&C僵尸網(wǎng)絡(luò)控制服務(wù)器的主要功能是向僵尸網(wǎng)絡(luò)管理員提供管理界面，向付費(fèi)用戶提供登錄界面和發(fā)動快速攻擊的應(yīng)用接口。

圖2展示了管理員和付費(fèi)用戶登錄僵尸網(wǎng)絡(luò)控制臺的業(yè)務(wù)流程。

管理員登錄成功后可以添加用戶、設(shè)置分配給普通用戶的受控端數(shù)量、發(fā)動攻擊；普通用戶登錄成功后只可以發(fā)動攻擊。

付費(fèi)用戶還可以通過telnet訪問101端口的應(yīng)用接口發(fā)動快速攻擊。

2.2 變種惡意程序分析

2.2.1 技術(shù)背景

一般分配TR-069協(xié)議（CPE WAN management protocol）給互聯(lián)網(wǎng)上的TCP/7547端口，ISP利用該協(xié)議對用戶側(cè)設(shè)備進(jìn)行遠(yuǎn)程管理[10]，完成諸如服務(wù)開通、功能設(shè)定、系統(tǒng)檢測等運(yùn)維操作。

然而，7457端口同時還可以運(yùn)行TR-064協(xié)議（LAN-side CPE configuration），該協(xié)議允許用戶通過LAN側(cè)的管理軟件對ISP提供的路由器進(jìn)行配置。

TR-069協(xié)議和TR-064協(xié)議分別運(yùn)行在路由器的WAN口和LAN口。當(dāng)路由器的WAN口允許接收并響應(yīng)TR-064協(xié)議請求時，會導(dǎo)致嚴(yán)重的安全漏洞，攻擊者可以通過互聯(lián)網(wǎng)遠(yuǎn)程配置該路由器，配置命令包括獲取設(shè)備信息、獲取Wi-Fi密碼、獲取SSID和MAC地址、設(shè)置NTP服務(wù)器。

圖2 登錄僵尸網(wǎng)絡(luò)控制臺流程

而TR-064協(xié)議在設(shè)置NTP時間服務(wù)器時存在命令注入漏洞，攻擊者通過發(fā)送符合TR-064協(xié)議格式要求的數(shù)據(jù)分組，可以執(zhí)行任意命令，如“busybox iptables -I INPUT -p tcp --dport 80 -j ACCEPT”。

2.2.2 變種特點(diǎn)

在德國電信斷網(wǎng)事件的捕獲樣本中發(fā)現(xiàn)了與Mirai相同的代碼，但該變種也有自己的特征。

1) 利用7547端口進(jìn)行傳播

對隨機(jī)生成的IP地址進(jìn)行掃描，并向目標(biāo)主機(jī)發(fā)送包含攻擊代碼的數(shù)據(jù)分組，攻擊代碼的主要功能是下載針對不同平臺的惡意代碼。

2) 綁定并監(jiān)聽31517端口

通過查詢端口31517相關(guān)的進(jìn)程，將其終止。之后，綁定31517端口，進(jìn)行監(jiān)聽。

3) 精簡弱口令列表

對弱口令列表進(jìn)行精簡，通過3組弱口令進(jìn)行telnet弱口令掃描。

2.2.3 后續(xù)演進(jìn)情況

1) 使用域名生成算法

2016年12月9日，奇虎360公司Netlab網(wǎng)絡(luò)安全研究實(shí)驗(yàn)室發(fā)現(xiàn)部分利用TR-064協(xié)議漏洞傳播的Mirai惡意程序變種樣本中包含域名生成算法[11]，用于生成CNC僵尸網(wǎng)絡(luò)控制服務(wù)器備用域名，其主要特征如下。

① 使用3個頂級域名：online/tech/support。

② L2域名固定長度12字符，每個字符在“a”～“z”隨機(jī)選擇。

③ 域名僅由月、日和硬編碼的種子字符串確定。

④ 每天只生成一個域名，因此最多存在365個DGA域名。

⑤ DGA域名僅在硬編碼的C2域名無法解析時使用。

2) 感染W(wǎng)indows平臺

2017年2月6日，俄羅斯殺毒軟件制造商Dr. Web捕獲了Windows版本的Mirai惡意程序，可以感染W(wǎng)indows平臺微軟主機(jī)和嵌入式Linux系統(tǒng)的物聯(lián)網(wǎng)設(shè)備，主要掃描如下端口：22、23、135、445、1433、3306、3389。

除3389以外的所有端口，均會執(zhí)行配置文件中的相關(guān)命令，如添加數(shù)據(jù)庫用戶、獲取惡意程序、寫入文件等。

3 數(shù)據(jù)獲取及分析

本節(jié)闡述上?；ヂ?lián)網(wǎng)應(yīng)急中心通過主動和被動這2種方式獲取Mirai僵尸網(wǎng)絡(luò)監(jiān)測數(shù)據(jù)，并對受控端和控制端分別展開數(shù)據(jù)分析。

3.1 數(shù)據(jù)獲取

Mirai僵尸網(wǎng)絡(luò)監(jiān)測發(fā)現(xiàn)的方式分為主動監(jiān)測與被動監(jiān)測。

主動監(jiān)測數(shù)據(jù)可以利用Mirai掃描模塊中的特征值，通過檢查SYN包的包頭，從TCP/23端口的掃描流量中識別出Mirai惡意程序發(fā)出的掃描流量。這類監(jiān)測數(shù)據(jù)的主要來源為上海互聯(lián)網(wǎng)應(yīng)急中心應(yīng)急服務(wù)支撐單位的上報數(shù)據(jù)。

被動監(jiān)測數(shù)據(jù)則是利用國家互聯(lián)網(wǎng)應(yīng)急中心某技術(shù)平臺，將Mirai僵尸網(wǎng)絡(luò)通信流量中指紋特征配入系統(tǒng)，開展相應(yīng)監(jiān)測。具體指紋特征包括端口特征和報文特征，端口特征指Mirai惡意程序會監(jiān)聽48101端口，報文特征如表3和表4所示。

表3 Bot上線報文特征

表4 心跳鏈接報文特征

3.2 主動監(jiān)測數(shù)據(jù)分析

3.2.1 受控端監(jiān)測情況

1) IP地址統(tǒng)計

奇虎360公司Netlab網(wǎng)絡(luò)安全研究實(shí)驗(yàn)室開放數(shù)據(jù)項(xiàng)目（Netlab open data project）建立了Mirai僵尸網(wǎng)絡(luò)監(jiān)測頁面，實(shí)時呈現(xiàn)Mirai僵尸網(wǎng)絡(luò)的發(fā)展演變情況。

截至2017年3月31日，根據(jù)該監(jiān)測頁面提供的信息，通過統(tǒng)計Mirai僵尸網(wǎng)絡(luò)惡意程序及其變種的掃描行為，累計發(fā)現(xiàn)Bot受控端IP地址2 291 661個，其中，中國排名第一，Bot受控端IP地址共計456 026個。

從Bot受控端的活躍情況來看，2017年3月31日當(dāng)日的活躍掃描IP為9 329個，且自2017年1月25日起，當(dāng)日活躍掃描IP均在2×104個以下。

2) 感染設(shè)備情況

知道創(chuàng)宇ZoomEye平臺[12]對公開的Mirai僵尸網(wǎng)絡(luò)掃描數(shù)據(jù)列表中62 961個獨(dú)立IP地址的Banner信息進(jìn)行了統(tǒng)計，選取Dyn公司遭到攻擊前后2016年7月18日和10月25日這2個時間點(diǎn)，分析得出感染Mirai僵尸網(wǎng)絡(luò)的設(shè)備端口、設(shè)備類型、運(yùn)行服務(wù)等情況。

Mirai僵尸網(wǎng)絡(luò)主要掃描攻擊端口為23，檢索該端口在Dyn公司遭到攻擊前后的變化情況，發(fā)現(xiàn)在62 961個獨(dú)立IP地址中，8 454個IP地址的23端口被關(guān)閉，1 010個地址的端口被打開，整體趨勢與Mirai惡意程序關(guān)閉23端口的行為特征相符。

1 898個IP可以識別出準(zhǔn)確的設(shè)備類型，主要感染設(shè)備為路由器、媒體設(shè)備和攝像頭，排名前10的設(shè)備類型如表5所示。

表5 排名前10的設(shè)備類型

識別出270種服務(wù)類型，主要服務(wù)類型為uc-httpd、Busybox telnetd和Portable SDK for UPnP devices，排名前10的服務(wù)類型如表6所示。

表6 排名前10的服務(wù)類型

3) 潛在影響范圍

重點(diǎn)考察23端口的Banner信息在2016年7月和2016年10月這2個時間點(diǎn)的變化情況，可以發(fā)現(xiàn)2016年7月18日最多的Banner信息為“LocalHost login”和“(none) login”，其數(shù)量變化情況如表7所示。

表7 Banner信息變化情況

由表7可以看到Banner數(shù)量大幅下降，可以推斷23端口的Banner信息為這2條的設(shè)備，極有可能會感染Marai惡意程序，如果以這2條Banner信息作為查詢條件，在4個常見的網(wǎng)絡(luò)空間搜索引擎中進(jìn)行搜索（截至2017年4月9日），可以得到如表8所示地址數(shù)量。

表8 Banner信息搜索結(jié)果

因不同搜索引擎的掃描和數(shù)據(jù)處理機(jī)制存在差異，如ZoomEye會對多次掃描得到的數(shù)據(jù)進(jìn)行累計，而Shodan[13]則會直接更新數(shù)據(jù)，Censys[14]每周會對23端口進(jìn)行掃描，F(xiàn)OFA[15]建立時間最短，導(dǎo)致上述統(tǒng)計的IP地址數(shù)量差異較大，實(shí)際影響范圍還需要在全量數(shù)據(jù)基礎(chǔ)上做進(jìn)一步核實(shí)驗(yàn)證。

3.2.2 控制服務(wù)器監(jiān)測情況

根據(jù)奇虎360公司Netlab網(wǎng)絡(luò)安全研究實(shí)驗(yàn)室開放數(shù)據(jù)項(xiàng)目的Mirai C2監(jiān)測頁面提供的信息，截至2017年4月9日，累計發(fā)現(xiàn)C&C控制服務(wù)器IP地址204個，其中，美國排名第一，C&C控制服務(wù)器IP地址共計43個；累計下發(fā)攻擊命令1 577 363條，攻擊目標(biāo)11 748個，攻擊方式排名前3的分別為udp_flood、tcp_stomp和http_flood。

從活躍情況來看，2017年3月31日的活躍CNC控制服務(wù)器IP地址16個，下發(fā)攻擊命令1 720條，且近3個月內(nèi)的大部分時間控制服務(wù)器IP地址少于20個，攻擊命令少于2 000條。

3.3 被動監(jiān)測數(shù)據(jù)分析

國家互聯(lián)網(wǎng)應(yīng)急中心利用某技術(shù)平臺對Mirai僵尸網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行排查，發(fā)現(xiàn)受控端IP地址數(shù)據(jù)中涉及全國范圍內(nèi)的IP地址5 681個，其中上海地區(qū)IP地址210個。

上?；ヂ?lián)網(wǎng)應(yīng)急中心按照國家互聯(lián)網(wǎng)應(yīng)急中心要求，協(xié)調(diào)上海地區(qū)基礎(chǔ)運(yùn)營企業(yè)對IP地址的線路類型、是否為物聯(lián)網(wǎng)設(shè)備等情況進(jìn)行核查，發(fā)現(xiàn)80%以上IP地址的線路類型均為撥號用戶。

同時，利用技術(shù)手段對地址telnet端口的Banner信息進(jìn)行查詢，得到Banner信息70條，具體Banner信息情況如表9所示，其中“XL_ MINER_dddd login:”中的dddd為4位數(shù)字，“dvrdvs login:”可以確認(rèn)為?？低暤谋O(jiān)控設(shè)備。

表9 Banner信息情況

3.4 數(shù)據(jù)驗(yàn)證和挖掘

3.4.1 主被動數(shù)據(jù)重合性驗(yàn)證

上?；ヂ?lián)網(wǎng)應(yīng)急中心對奇虎360公司Netlab網(wǎng)絡(luò)安全研究實(shí)驗(yàn)室公開的Mirai僵尸網(wǎng)絡(luò)掃描數(shù)據(jù)進(jìn)行定位，確認(rèn)上海地區(qū)IP地址71個，其中上海電信地址58個、上海聯(lián)通地址12個、上海移動地址1個。

與之前國家互聯(lián)網(wǎng)應(yīng)急中心的數(shù)據(jù)進(jìn)行比對，發(fā)現(xiàn)上海地區(qū)數(shù)據(jù)完全沒有重合，而全國數(shù)據(jù)也僅有11個IP地址重合。主被動數(shù)據(jù)重合度較低，表明2種監(jiān)測方式在原理機(jī)制、監(jiān)測節(jié)點(diǎn)等方面存在較大差異。

3.4.2 利用技術(shù)平臺監(jiān)測發(fā)現(xiàn)感染情況

上海互聯(lián)網(wǎng)應(yīng)急中心以Mirai僵尸網(wǎng)絡(luò)利用TR-064漏洞傳播的變種作為檢測對象，該變種有掃描7547端口并開放31517端口的網(wǎng)絡(luò)特征，本文選取國家互聯(lián)網(wǎng)應(yīng)急中心某技術(shù)平臺上海地區(qū)某日的流量數(shù)據(jù)進(jìn)行檢索，具體排查步驟如下。

1) 查詢目的端口為7547的流量數(shù)據(jù)，得到全天流量五元組數(shù)據(jù)65 527條，數(shù)據(jù)時間均在22:44:52～23:59:59，時間分布較為聚集。

2) 篩選出源端口為31517的數(shù)據(jù)2條，如表10所示。

表10 篩選出的2條流量數(shù)據(jù)

3) 分別提取源地址為39.*.*.18和58.*.*.74的流量記錄，發(fā)現(xiàn)58.*.*.74有明顯的掃描特征，涉及554個獨(dú)立目的IP地址，后續(xù)如能結(jié)合報文數(shù)據(jù)，可以進(jìn)一步確認(rèn)該地址是否為感染Mirai惡意程序的變種。

4 應(yīng)對建議

本文建議從技術(shù)和管理方面雙管齊下，通過監(jiān)測系統(tǒng)建設(shè)、威脅情報共享等多種方式積極應(yīng)對Mirai僵尸網(wǎng)絡(luò)。

在技術(shù)層面上，國家級應(yīng)急支撐機(jī)構(gòu)需要對系統(tǒng)監(jiān)測和互聯(lián)網(wǎng)公開數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，充分挖掘現(xiàn)有數(shù)據(jù)價值。同時，還建議積極申請資金，建立和完善惡意代碼蜜罐捕獲和分析系統(tǒng)。國家互聯(lián)網(wǎng)應(yīng)急中心作為協(xié)調(diào)機(jī)構(gòu)，難以直接獲取受害用戶設(shè)備上的攻擊樣本，蜜罐系統(tǒng)[16]可以成為獲取惡意代碼樣本的重要渠道，為僵尸網(wǎng)絡(luò)動態(tài)的實(shí)時監(jiān)測提供重要手段。安全企業(yè)則應(yīng)積極建立互聯(lián)網(wǎng)網(wǎng)絡(luò)空間搜索引擎，作為信息獲取、漏洞排查的重要工具。

在管理層面上，建議國家級應(yīng)急支撐機(jī)構(gòu)牽頭，參照國際現(xiàn)有標(biāo)準(zhǔn)，統(tǒng)一威脅情報格式，如：在STIX規(guī)范框架下，借助 CybOX提供的詞匯描述威脅情報，并利用TAXII 進(jìn)行傳輸[17]，實(shí)現(xiàn)重要威脅情報自動化讀取和匯總，推進(jìn)網(wǎng)絡(luò)安全威脅情報共享體系建設(shè)。各安全企業(yè)則結(jié)合自身實(shí)際業(yè)務(wù)能力，重點(diǎn)跟蹤特定方向的威脅情報，形成企業(yè)特色，在此基礎(chǔ)上實(shí)現(xiàn)情報共享。

5 結(jié)束語

僵尸網(wǎng)絡(luò)一直是基礎(chǔ)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全運(yùn)行的重大威脅，利用物聯(lián)網(wǎng)設(shè)備開展攻擊的Mirai僵尸網(wǎng)絡(luò)已經(jīng)造成多次嚴(yán)重的國家級互聯(lián)網(wǎng)癱瘓事件。本文首先對Mirai僵尸網(wǎng)絡(luò)惡意程序的運(yùn)作機(jī)制進(jìn)行了分析，然后通過數(shù)據(jù)分析呈現(xiàn)了其運(yùn)行規(guī)模和具體特征，最后給出了針對Mirai僵尸網(wǎng)絡(luò)惡意程序的應(yīng)對建議。

[1] MCCARTY B. Botnets: big and bigger[J]. IEEE Security & Privacy, 2003, 1(4):87-90

[2] STONE-GROSS B, COVA M, CAVALLARO L, et al. Your botnet is my botnet: analysis of a botnet takeover[C]//The 16th ACM Conference on Computer and Communication Security. 2009: 635-647.

[3] CUI X, FANG B X, YIN L H, el al. Andbot: towards advanced mobile botnets[C]//The 4th Usenix Workshop on Large-scale Exploits and Emergent Threats. 2011: 11.

[4] Linux/Mirai. How an old ELF malcode is recycled[EB/OL]. http:// blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just .html.

[5] World’s largest net: mirai botnet, client, echo loader, CNC source code released[EB/OL]. https://hackforums.net/showthread.php?tid= 5420472.

[6] Eir’s D1000 modem is wide open to being hacked[EB/OL]. https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-mod em-is-wide-open-to-being-hacked/.

[7] Trojan.Mirai.1 [EB/OL].https://vms.drweb.com/virus/?i= 14934685 & lng= en.

[8] Gartner says 8.4 billion connected "things" will be in use in 2017, up 31 percent from 2016[EB/OL]. http://www.gartner.com/newsroom/ id/3598917.

[9] 汪勝聰, 滕勤, 左承基. 綜述單片機(jī)控制系統(tǒng)的抗干擾設(shè)計[J].現(xiàn)代電子技術(shù), 2003, 1: 7-9.

WANG S C, TENG Q, ZUO C J. Statement of an-ti-disturbance design in the micro-controller system[J]. Modern Electronic Technique, 2003, 1:7-9.

[10] 吳春敏. 基于TR-069協(xié)議的遠(yuǎn)程配置管理終端的研究與實(shí)現(xiàn)[D]. 成都：西南交通大學(xué), 2006.

WU C M. Research and implementation of remote configuration management terminal base in TR-069 protocol[D]. Chengdu: Southwest Jiaotong University, 2006.

[11] 張雪松, 徐小琳, 李青山. 算法生成惡意域名的實(shí)時檢測[J]. 現(xiàn)代電信科技, 2013, 7: 3-8.

ZHANG X S, XU X L, LI Q S. The real-time detection of algo-rithmically generated malicious domain[J]. Modern Science & Technology of Telecommunications. 2013, 7: 3-8.

[12] 鐘馗之眼. 網(wǎng)絡(luò)空間搜索引擎[EB/OL]. https://www.zoomeye. org/.

ZoomEye. Cyberspace Search Engine[EB/OL]. https://www.zoomeye. org/.

[13] Shodan[EB/OL]. https://www.shodan.io/.

[14] Censys[EB/OL]. https://www.censys.io/.

[15] FOFA Pro .網(wǎng)絡(luò)空間安全搜索引擎[EB/OL]. https://fofa.so/. FOFA Pro. The cyberspace search engine[EB/OL]. https://fofa.so/.

[16] FREILING F, HOLZ T, WICHERSKI G. Botnet tracking: Exploring a root-cause methodology to prevent distributed denial-of- service at-tacks[C]//The 10th European Symposium on Research in Computer Security (ESORICS 2005). 2005: 319-335.

[17] LI J H. Overview of the technologies of threat intelligence sensing, sharing and analysis in cyber space[J]. Chinese Journal of Network and Information Security, 2016, 2(2):16-29.

Research on the reverse analyses and monitoring data of Mirai malware botnet

CHEN Ya-liang1,2, DAI Qin-yun2, WU Hai-yan2, WEI Zheng2

(1. School of Information Security Engineering, Shanghai Jiaotong University, Shanghai 200240, China; 2. Shanghai Branch, Coordination Center of China, National Computer Network Emergency Response Technical Team, Shanghai 201315, China)

In recent years, with the rapid development of Internet of things(IoT), malwares have come into Internet of things, and botnet is the typical one. Malwares spreading through IoT vulnerable devices have emerged. The overall structure of Mirai botnet and the function of its components were introduced, such as bots and C&C server. The monitoring data obtained through active and passive way were analyzed. Based on that, the discovery methods and response modes on such kind of botnet malwares were discussed.

botnet, malware, Mirai, Shodan, TR-064

TP309.5

A

10.11959/j.issn.2096-109x.2017.00181

陳亞亮（1988-），男，上海人，國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、移動互聯(lián)網(wǎng)惡意程序。

戴沁蕓（1977-），女，湖北武漢人，博士，國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心高級工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、移動互聯(lián)網(wǎng)。

吳海燕（1989-），女，江蘇啟東人，國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全。

魏征（1986-），男，江蘇蘇州人，國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中工程師，主要研究方向?yàn)閻阂獬绦蚍治觥?/p>

2017-06-13；

2017-06-29。通信作者：陳亞亮，dcreg2013@163.com