原创 奇安信X实验室 2024-03-19 10:32 北京
Mirai家族作为botnet的常青树,存在众多变种,但极少出现使用DGA的Mirai变种,据我们观测,上一个
Mirai家族作为botnet的常青树,存在众多变种,但极少出现使用DGA的Mirai变种,据我们观测,上一个使用DGA(Domain Generation Algorithm)的Mirai变种出现于2016年。2024年3月,我们捕获到了新的可疑ELF样本,通过分析得知是另一个使用DGA的Mirai变种,分析关联的历史样本,我们不仅发现了没有使用DGA的版本(2024.02),还发现了漏洞扫描器和远控样本(2024.01),这引起我们的极大兴趣。根据下载脚本中的版本信息,我们姑且将其命名为Mirai.Nomi。
Mirai.Nomi样本具有以下特点:
魔改UPX壳(修改UPX魔术头、异或原始载荷)
使用时间相关的DGA并加入验证机制
使用多个加密算法、哈希算法(AES、CHACHA20、MD5)
Mirai.Nomi样本中硬编码了多个公共的NTP IP,获取当前,将时间戳与604800整除,作为DGA的种子。这意味着时间种子的变化周期为7天,若获取失败,种子被赋值为"9999"
从我们的数据看当前Mirai.Nomi的攻击活动并不是很活跃。也许还处于发展阶段
关于本文的详细分析,清点击下方阅读全文
