奇安信X实验室发布了关于新型Mirai botnet变种Mirai.Nomi的分析报告。该变种时隔多年再次使用DGA（域名生成算法），并结合了多种加密和哈希算法。Mirai.Nomi通过时间相关的DGA生成域名，且硬编码多个公共NTP IP。报告还提到了该变种的特点，包括魔改UPX壳和验证机制。通过对历史样本的分析，研究人员发现了该变种的不同版本，包括未使用DGA的版本以及漏洞扫描器和远控样本。目前，Mirai.Nomi的攻击活动尚不活跃，可能仍处于发展阶段。

👾 Mirai.Nomi是Mirai家族中一个使用DGA的变种，上一个使用DGA的Mirai变种出现于2016年。

🔑 Mirai.Nomi样本具有魔改UPX壳，修改了UPX魔术头并异或原始载荷，同时使用时间相关的DGA并加入了验证机制。

💡 该样本使用多种加密算法和哈希算法，包括AES、CHACHA20和MD5，增加了分析难度。

🌐 Mirai.Nomi样本中硬编码了多个公共NTP IP，用于获取当前时间，并将时间戳与604800整除作为DGA的种子，种子变化周期为7天。如果获取时间失败，种子将被赋值为“9999”。

📊 从数据上看，Mirai.Nomi的攻击活动目前并不活跃，可能还处于发展阶段。研究人员通过分析关联的历史样本，发现了没有使用DGA的版本（2024.02），以及漏洞扫描器和远控样本（2024.01）。

原创 奇安信X实验室 2024-03-19 10:32 北京

Mirai家族作为botnet的常青树，存在众多变种，但极少出现使用DGA的Mirai变种，据我们观测，上一个

Mirai家族作为botnet的常青树，存在众多变种，但极少出现使用DGA的Mirai变种，据我们观测，上一个使用DGA（Domain Generation Algorithm）的Mirai变种出现于2016年。2024年3月，我们捕获到了新的可疑ELF样本，通过分析得知是另一个使用DGA的Mirai变种，分析关联的历史样本，我们不仅发现了没有使用DGA的版本（2024.02），还发现了漏洞扫描器和远控样本（2024.01），这引起我们的极大兴趣。根据下载脚本中的版本信息，我们姑且将其命名为Mirai.Nomi。

Mirai.Nomi样本具有以下特点：

魔改UPX壳（修改UPX魔术头、异或原始载荷）

使用时间相关的DGA并加入验证机制

使用多个加密算法、哈希算法（AES、CHACHA20、MD5）

Mirai.Nomi样本中硬编码了多个公共的NTP IP，获取当前，将时间戳与604800整除，作为DGA的种子。这意味着时间种子的变化周期为7天，若获取失败，种子被赋值为"9999"

从我们的数据看当前Mirai.Nomi的攻击活动并不是很活跃。也许还处于发展阶段

关于本文的详细分析，清点击下方阅读全文

阅读原文

跳转微信打开