CNCERT：关于Mirai变种Miori僵尸网络大规模传播的风险提示

本报告由国家互联网应急中心（CNCERT）与奇安信科技集团股份有限公司（奇安信）共同发布。

一

 概述

近期，CNCERT和奇安信共同监测发现一个新的且在互联网上快速传播的DDoS僵尸网络，通过跟踪监测发现其每日上线境内肉鸡数（以IP数计算）最多已超过1万、且每日会针对多个攻击目标发起攻击，给网络空间带来较大威胁。该僵尸网络为Mirai变种，包括针对mips、arm、x86等CPU架构的样本，由于该僵尸网络样本均以miori命名，我们将其命名为Mirai_miori。在2个月的时间中，我们捕获到Mirai_miori僵尸网络样本至少迭代过3个版本，具有9个传播源，涉及6个C2服务器，传播方式主要为弱口令爆破以及1 day和N day漏洞。Mirai_miori僵尸网络出现以来所投递的样本变动很小，运营者将主要精力投入到漏洞搜集利用以及更换C2服务器上。

二

 僵尸网络分析

（一）相关样本分析

本文选取V2 ARM CPU架构的样本为主要的分析对象，样本的基本信息如下。

文件名	miori
MD5	bfb42bb1a4b0278bf2550e943a6c9f9e
文件格式	ELF 32-bit LSB executable ARM
C2	2.56.56.162

1、样本运行后在控制台上输出以下内容“your device just got infected to a bootnoot”，并修改进程名为"  "。

图1  样本运行信息

2、遍历/proc/目录下的文件，结束掉指定进程。

图2  结束指定进程

3、Mirai_miori变种对mirai的上线机制进行了修改。第一个包是固定四字节x03x00x02x01，第二个包是样本运行参数长度+运行参数，缺省为x00，一般在shell脚本里指定，之后每60s发送固定2字节心跳包x00x00，若10秒内有收到C2下发的非心跳指令，则心跳包间隔时间会相应增加。

图3  上线机制

4、DDoS攻击方法，样本内置了8种DDoS攻击，部分DDoS攻击复用了mirai的源码。

图4  攻击方式

（二）传播方式分析

Mirai_miori变种可以分为三个版本，运营者通过增加漏洞数量并积极利用1 day漏洞来扩大僵尸网络规模。以CVE-2022-29591漏洞为例，该漏洞首次披露于今年5月10日，我们在5月17日即捕获到该漏洞利用的流量，可见该僵尸网络运营人员对新漏洞具有较高的敏感性并具有一定的漏洞利用能力。

运营者所使用的漏洞信息：

各版本弱口令解密后内容如图5所示。

图5  各版本口令

三

 僵尸网络感染规模

通过监测分析发现，2022年4月6日至6月6日Mirai_miori僵尸网络日上线境内肉鸡数最高达到1.1万台，累计感染肉鸡数达到4.4万。每日境内上线肉鸡数情况如下。

图6  每日上线境内肉鸡数

Mirai_miori僵尸网络位于境内肉鸡按省份统计，排名前三位的分别为浙江省（37.2%）、云南省（10.9%）和河南省（6.2%）；按运营商统计，电信占79.7%，联通占18.5%，移动占0.7%。

图7  境内肉鸡按省份和运营商分布

四

 僵尸网络攻击动态

通过跟踪监测发现，Mirai_miori僵尸网络自2022年4月6日出现起就一直对外发起DDoS攻击，后期随着控制规模扩大攻击行为日益活跃。攻击最猛烈的时候是 2022年5月30日共对323个目标发起DDoS攻击，2022年5月29日曾先后调动2.5千台肉鸡攻击某受害目标。其攻击事件趋势如下：

图8  Mira_miori变种僵尸网络攻击趋势

五

 防范建议

请广大网民强化风险意识，加强安全防范，避免不必要的经济损失，主要建议包括：1、梳理已有资产列表，及时修复相关系统漏洞。2、不使用弱密码或默认密码，定期更换密码。

当发现主机感染僵尸木马程序后，立即核实主机受控情况和入侵途径，并对受害主机进行清理。

六

  相关IOC

样本MD5：

fcedf135724d04d3299de41840da76a5

0294aa17e46586e7362cfde7e6f61e90

8ca06dff201e2efb1ef27282e875f720

09e16b247cb5d219252d2eb7185e4cd4

b1243cf53691dbccd3bcd5a5e2dea0ba

60ed67c5fd2c694cbed246c34f1996d4

bb3c7c16d1f045d9e0896dfe3558f794

549470175b5728bef241cd8318978071

2eb59f84503a5504463ea3d0acd21c98

135aab8d2ee4570d3d1f79b06df11202

1e06b8354d0d76b3e1c9f27794c6cc9e

452dc74070b167abb930ef3124ae9172

61fc0a2c42dab8730b074fa9c7ae7875

4d403169e481298767e7de263234094d

495c5cb7782ef8e8e2d0827302326226

c7072c10808b9f34daf54608c16b4165

44fd2a83044d5fe4e28d3d3f7109f7b2

bfb42bb1a4b0278bf2550e943a6c9f9e

93ef6d79bf74fb40a92a3577a2431194

fec708a45aee20dd22e2da807f3530d1

8ce0594eebe794f88f510c87cf1119dd

5bebe8d71b7bdc188efd3b451c27fb41

0225ecf57b8d91bc141c5ca22056016f

ba953ea2800ba05143b84e19bd810e1d

d3d96c71d604533fb9a3d3673f8bd641

88c2450f4158bc3ce8bc038c7923103c

2dc15f9aae304ecfc9aa9cad32dfd19c

683c7986e45b3b5c8840ef73144dfd30

23002f8a2d1900f0108bad51a1f1e124

3a155689509b91304f776015d1fc06cd

b37080f0f495d2e62aa377e4c291847e

39ea839c462d0248d9e7701843852685

b32a1c611ded2169cc5c6e281e5b4c0c

6844313d215b01dc1000e5d52090b6f7

c560ff207426cda72f15077ad841812e

4f87a057edf08576aef4232b87dd5481

9f98eacca243f3b4346e3d586efb91fb

下载链接：

http[:]//142.93.229.199/gaybub/miori.arm

http[:]//179.43.156.214/miori.arm

http[:]//185.28.39.119/gaybub/miori.arm

http[:]//185.28.39.119/gaybub/miori.mips

http[:]//185.28.39.119/miori.mips

http[:]//194.31.98.205/miori.arm

http[:]//194.31.98.205/miori.mips

http[:]//195.58.38.253/gaybub/miori.arm

http[:]//2.56.56.162/gaybub/miori.arm

http[:]//37.0.11.168/gaybub/miori.mips

http[:]//37.0.11.168/miori.arm

http[:]//46.19.137.50/c.sh

http[:]//46.19.137.50/gaybub/c.sh

http[:]//46.19.137.50/gaybub/miori.arc

http[:]//46.19.137.50/gaybub/miori.arm

http[:]//46.19.137.50/gaybub/miori.arm5

http[:]//46.19.137.50/gaybub/miori.arm6

http[:]//46.19.137.50/gaybub/miori.arm7

http[:]//46.19.137.50/gaybub/miori.i5

http[:]//46.19.137.50/gaybub/miori.i6

http[:]//46.19.137.50/gaybub/miori.m68k

http[:]//46.19.137.50/gaybub/miori.mips

http[:]//46.19.137.50/gaybub/miori.mipsl

http[:]//46.19.137.50/gaybub/miori.ppc

http[:]//46.19.137.50/gaybub/miori.sh4

http[:]//46.19.137.50/gaybub/miori.spc

http[:]//46.19.137.50/gaybub/miori.x86

http[:]//46.19.137.50/gaybub/sh

http[:]//46.19.137.50/gaybub/w.sh

http[:]//46.19.137.50/miori.arc

http[:]//46.19.137.50/miori.arm

http[:]//46.19.137.50/miori.arm5

http[:]//46.19.137.50/miori.arm6

http[:]//46.19.137.50/miori.arm7

http[:]//46.19.137.50/miori.i5

http[:]//46.19.137.50/miori.i6

http[:]//46.19.137.50/miori.m68k

http[:]//46.19.137.50/miori.mips

http[:]//46.19.137.50/miori.mipsl

http[:]//46.19.137.50/miori.ppc

http[:]//46.19.137.50/miori.sh4

http[:]//46.19.137.50/miori.spc

http[:]//46.19.137.50/miori.x86

http[:]//46.19.137.50/sh

http[:]//46.19.137.50/w.sh

http[:]//31.7.58.162/miori.mips

http[:]//31.7.58.162/miori.mpsl

http[:]//31.7.58.162/miori.x86

http[:]//31.7.58.162/miori.arm7

http[:]//31.7.58.162/miori.arm

http[:]//31.7.58.162/miori.sh4

http[:]//31.7.58.162/miori.arm6

http[:]//31.7.58.162/miori.arm5

http[:]//31.7.58.162/miori.ppc

http[:]//31.7.58.162/miori.arc

http[:]//31.7.58.162/miori.spc

http[:]//31.7.58.162/miori.i5

http[:]//31.7.58.162/miori.i6

http[:]//31.7.58.162/miori.m68k

http[:]//31.7.58.162/sh

http[:]//31.7.58.162/w.sh

http[:]//31.7.58.162/c.sh

控制IP：

142.93.229.199

2.56.56.162

179.43.156.214

46.19.137.50

195.58.38.253

31.7.58.162

推荐阅读

• 网安智库平台长期招聘兼职研究员

• 欢迎加入“安全内参热点讨论群”

---

文章来源：国家互联网应急中心CNCERT

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

原文始发于微信公众号（安全内参）：CNCERT：关于Mirai变种Miori僵尸网络大规模传播的风险提示