關于mirai僵尸網絡控制主機的數據分析
責編:admin |2016-10-28 15:50:30目前為止,我們與安全社區合作共享了兩位數域名上的超過50個mirai僵尸網絡主控。但本文后面的分析僅針對360網絡安全研究院獨立發現的主控,即13個域名上的16個主控主機名,其中8個在持續對外發起攻擊。
在時間線上,我們可以看到各主控隨時間變化的注冊、在DNS中首次出現、持續保持IP地址變化、首次被監控到發起攻擊等事件。地理分布方面,主控的IP地理分布主要在歐洲和美國,尤以歐洲為甚,亞洲很少,這從側面增強了之前“mirai控制者不在北京時區”的判斷。
域名注冊信息方面,絕大多數主控在域名注冊時在TLD、注冊局、注冊郵箱方面設置了多重障礙阻滯安全社區的進一步分析。
主控中一個特例是santasbigcandycane.cx,這個域名隨著mirai源碼泄漏而暴露在大眾視野中。KrebsOnSecurity 對這個域名做了深入而有趣的探索。感興趣的讀者可在讀完本篇文檔后閱讀: https://krebsonsecurity.com/2016/10/spreading-the-ddos-disease-and-selling-the-cure/#more-36538
所分析的mirai控制端列表
到目前為止,我們獨立發現了16個僵尸網絡主機名,分布在13個域名上,如下表所示。出于安全考慮,我們掩去了關鍵信息。
除了少數兩個特例以外,絕大多數主機名所屬域名下的所有其他主機名也都完全為 mirai 服務,可據此判定絕大多數域名是專門為了mirai而申請注冊的。
特例之一是santasbigcandycane.cx,前文已述;特例之二是 contabo.host ,這個域名屬于 Contabo.com,是一家提供低成本虛擬主機和Web空間的網絡提供商。合理推測這是一臺被攻破的虛擬主機,攻破后被用作mirai的控制端。
注:域名指在注冊局注冊的域名,主機名指域名所有者獲得域名控制權后分配的子域名。
mirai主控的時間變化情況
回溯Mirai控制端的活動歷史,可以繪制mirai控制端的活動時間線如下圖。考慮到大家主要關注mirai近期活動,我們縮放了下圖時間軸,主要顯示9月1日至今(10月27日)。
圖中,四個圖標分別表示域名注冊、主機名在DNS系統中活躍的時間、主機名在DNS系統中發生IP地址變化、跟蹤到該主機名發起攻擊。其中最后一個主控,我們無法追蹤到最初顯示的注冊時間,目前查到的注冊時間在其DNS首次出現時間之后。
從上圖中可以看出域名一旦啟用(觀察到參與攻擊)會快速更換IP地址,一般可以判定這是攻擊者在逃避安全社區的分析。以某個被認為發起了針對本次 dyn / twitter 攻擊的mirai主控為例,下表是該主控的IP變化歷史:
圖中還可以看到我們累積監控到8個主控對外發起攻擊。時間可以回溯到2016年10月18日,并一直持續到當前。另外由于mirai僵尸網絡規模特別大,單個主控要應對的bot較多(合理推測數目在萬級),我們有理由相信mirai主控與bot之間的通訊模型與既往其他僵尸網絡都有所不同。
mirai主控的IP地理分布
之前社區里關于這些域名的IP地址變化有一種說法,認為 “某個mirai主控變換IP地址后,原先的IP地址上會出現一個新的域名,仍然是mirai主控”,即不同主控之間共享IP地址。在我們的數據中,上述情況完全沒有出現。 前文已經提到這些域名在快速的變換IP,我們持續跟蹤的16個主控目前為止一共使用了98個IP地址,其中活躍的8個主控一共使用了57個IP地址。這些IP地址的國家和地區分布如下:
可以看出絕大部分IP分布在歐洲和北美(巴爾及利亞,加拿大,丹麥,法國,德國,匈牙利,意大利,荷蘭,羅馬尼亞,俄羅斯,蘇伊士,英國,美國),其中又以歐洲為甚,分布在亞洲區的只有3個。這從側面增強了之前“mirai控制者不在北京時區”的判斷。
mirai主控的域名注冊信息
Mirai的控制者在域名注冊方面非常小心,以避免被跟蹤。一方面選擇很少見的新Top Level Domain(TLD),另一方面所使用的注冊郵箱、注冊局也都強調隱私保護或者很難繼續追蹤。
TLD的分布上,較少用常見的 .net .org 。 .xyz .work這樣的TLD就已經少見,而 .racing 這樣就 是更加罕見了。全部域名在常見 TLD (.net .org)上只有23%(=3/13),即使加上上.ru也不超過50%,如下圖所示:
注冊郵箱和注冊局方面情況如下。同樣出于安全考慮,我們掩去了關鍵信息。
這些注冊郵箱都比較難以繼續追溯下去:Protonmail 是專門強調數據安全的郵件服務商,reg.ru, r01.ru,whoisguard.com 是專門做域名隱私保護的公司,contabo是VPS提供商,freenom運營了大量免費域名。
特別要提及,info@namecentral.com 這個注冊局很特殊,在上文提到的krebsonSecurity 連接中,Krebs提到這個注冊局上注冊的30+域名中大多含有 boot/stress/dos 這樣的字眼,通常這暗示域名從事ddos出租服務;Krebs提到的另一個疑點是這個注冊局注冊的域名太少,無法做到收支平衡。Krebs與注冊局的所有者取得聯系,對方對Krebs的疑問有所回答,這更進一步加強了Krebs的疑慮。如果您已經讀到這里,我們強烈建議您去閱讀原文(https://krebsonsecurity.com/2016/10/spreading-the-ddos-disease-and-selling-the-cure/#more-36538)
來源:安全客(http://bobao.360.cn/learning/detail/3143.html)