hailBot,kiraiBot,catDDoS多个新型Mirai僵尸网络变种来势汹汹

    2023年九月份，绿盟科技伏影实验室全球威胁狩猎系统监测到多个基于Mirai开发而来的新型僵尸网络变种家族来势汹汹，其中以hailBot， kiraiBot以及CatDDoS最为活跃，正在加速传播，大范围布局，已构成不小的威胁，这引起了我们的警惕。我们将通过本文来披露这三个新型Mirai变种的技术细节及全球威胁狩猎系统监测到的数据。

    近年来，基于Mirai架构开发而来的僵尸网络木马越来越多，大量攻击者在Mirai源码的基础上进行二次开发，这些新开发的木马或是引入新的加密算法来隐藏关键信息，或是通过修改上线流程以及设计更隐蔽的通信方式来更好的隐藏自身。虽然开源代码使得构建一个僵尸网络的门槛逐步降低，但攻击者对增强隐匿性的尝试一直未曾减弱。

hailBot

   hailBot基于Mirai源码开发而来，其命名源自于运行后输出的字符串信息“hail china mainland”（中国大陆万岁），独特的表达方式难逃栽赃陷害的嫌疑。

图2.1 hailBot运行后输出的信息

    hailBot流量方面修改了原版Mirai的上线包。

图2.2 hailBot上线包

    产生的流量如下：

图2.3 hailBot上线流量

    hailBot攻击方式上当前版本支持基于TCP和UDP协议在内的四种DDoS攻击方式。

图2.4 hailBot的攻击方式

    hailBot通过漏洞利用和弱口令扫描爆破的方式传播，当前版本在漏洞方面仅内置了CVE-2017-17215一种，但不排除漏洞传播模块与样本分离的可能性。

图2.5 hailBot的传播漏洞

图2.6 hailBot扫描23端口

    历史活动上，hailBot的控制者极为活跃，早在去年年底就开始基于Mirai源代码来构建自己的僵尸网络，其早期开发的Mirai木马在上线完成后Server端会返回字符串信息“WHO THE HELL ARE YOU? TELL ME YOUR NAME!”（你到底是谁？告诉我你的名字）。

图2.7 hailBot Server端返回信息

    监测数据显示，hailBot近期并未下发太多指令，当前仍以试探性测试攻击为主，但其活跃C&C数量持续不断增多，表明其正在大规模布局，这值得引起我们的警惕。

图2.8 hailBot攻击指令

    我们对hailBot控制者的资产信息进一步排查后发现，其C&C基础设施5.181.80.120和5.181.80.115早期还曾传播过多个搭载CVE-2017-11882漏洞的诱饵文档，这些诱饵文档以“INVOICE.xlsx”(发票)，“Product_requetslist.xlsx”（产品需求清单），“CIF WMS REF NO 451RFQ ARN-DT-2021-06-29.xlsx”（贸易术语）等作为文件名，诱导受害者打开文档以触发漏洞，从而下载执行Lokibot和Formbook在内的多款商业化窃密型银行木马。据此，我们认为hailBot的控制者是有计划有组织的多面攻击手，早期以金融和贸易机构为主要攻击目标，之后在2022年下半年开始面向IoT平台进行布局。

kiraiBot

    kiraiBot是近期开始传播的一个借鉴了Mirai源码但又添加诸多个人设计的新型Mirai变种家族，其命名来源于样本中留有的字符串信息“kirai”。

图2.9 kiraiBot中字符信息

    kiraiBot通过在/etc/init.d/init.d/下设置自启动脚本实现持久化。

图2.10 kiraiBot持久化

    kiraiBot已知的传播方式为通过弱口令扫描爆破23端口。

图2.11 kiraiBot的弱口令对

    kiraiBot的扫描流量中也会出现“kirai”字符串，并且参照Mirai设置了report Server用于接收木马爆破出的结果。

图2.12 kiraiBot扫描流量

    kiraiBot传播脚本的存放站点与C&C并不一致，二者是独立的。

图2.13 kiraiBot传播脚本存放站点

    其上线包以字符串信息“BUILD”拼接文件运行的路径构成，特征如下：

图2.14 kiraiBot上线包

    当前版本支持6种DDoS攻击方式。

图2.15 kiraiBot支持的攻击方式

    kiraiBot相较于传统类Mirai在代码结构上存在较大的变化，指令解析模块也在原版Mirai的基础上进行了调整，其活动集中在2023年8，9月份，版本更迭频率较低，该家族近期所下发的指令数并不多，但传播量却极其庞大，其威胁性不容忽视。

图2.16 kiraiBot下发的指令

CatDDoS

   CatDDoS家族在Mirai源码的基础上引入了ChaCha20算法，对一些关键信息加密存储，最新版本的key和nonce如下：

图2.17 CatDDoS家族ChaCha20算法的key和nonce

    该变种对原版Mirai的上线流程做了调整，上线数据分成多轮发往Server端。

图2.18 CatDDoS家族上线包的构造

    发送到Server端的上线数据包由明文和ChaCha20算法加密的密文构成，在发送完“00 00 00 04”后会交替发送后续数据的字节数和实际内容，产生流量如下：

图2.19 CatDDoS家族上线包流量

    监测数据显示，CatDDoS家族已进入实战化阶段，指令下发的频率较为频繁，攻击时间段的选择上以早上8点至晚上21点居多，近期监测数据显示，其攻击目标中58%位于国内，其次为美国，占比达25%，此外，日本，新加坡，法国等国家也有受到波及。

图2.20 CatDDoS家族攻击目标分布

    CatDDoS内置了多种DDoS攻击方式，攻击者实际攻击活动中倾向于使用ack_flood和greip_flood方式，占比分别为63%和29%。

图2.21 CatDDoS家族攻击方式占比

    CatDDoS的控制者虽然没有从0开始构建一个完整的僵尸网络木马，但却及其重视木马的隐匿性，不光引入了ChaCha20算法，还引入OpenNIC域名，这与Fodcha家族颇为相似。

    近年来，我们观察到僵尸网络新家族层出不穷，大部分都是匆匆的来又匆匆的走，呈“昙花一现”的趋势，这其中大部分都是借鉴Mirai和Gafgyt代码融合演变而来。部分攻击者仅对开源木马的上线流程稍作修改便对外大肆宣扬构建了一个新的僵尸网络家族，借此来吸引顾客。但也有部分攻击者坚持对技术的“追求”，虽然也是复用了开源代码，但却在此基础上下了一定的功夫。攻击者对开源僵尸网络木马的再设计主要面向两个维度，一是加强文件侧的隐匿性，比如通过引入新的加密算法来隐藏关键信息，或是加入对抗分析的方法；再者就是在通信侧做文章，类似通过ClouDNS将恶意ip绑定白域名以及引入OpenNIC域名来规避检测等，但相较之下通信侧的对抗更为精彩。

hailBot

3f30a468b56c5761e346f3e709fd098e

34.147.16.24

34.165.70.211

34.176.112.249

34.64.52.239

34.69.75.60

34.92.28.223

35.188.240.127

5.181.80.115

5.181.80.120

5.181.80.70

5.181.80.71

kiraiBot

33ea03c6fdb4bcd826f99ca7ae8b5907

179.43.155.231

CatDDoS

12fe77575c11b698501e2068810823a4

139.177.197.168

212.118.43.167

77.105.138.202

84.54.47.93

88.218.62.22

88.218.62.221