Mirai Botnet IOCs

botnet IOC
Опубликовано

Начиная с марта 2023 года, исследователи Unit 42 наблюдали, как злоумышленники используют несколько уязвимостей IoT для распространения разновидности ботнета Mirai.

Создатели угроз имеют возможность получить полный контроль над взломанными устройствами, интегрируя их в ботнет. Затем эти устройства используются для осуществления дополнительных атак, включая распределенные атаки типа "отказ в обслуживании" (DDoS).

Mirai Botnet

14 марта 2023 года исследователи Unit 42 заметили в нашей внутренней системе поиска угроз трафик эксплойта с удаленным выполнением команд, исходящий с адреса 185.44.81[.]114. Угрожающий агент пытался загрузить загрузчик сценариев оболочки в виде файла с именем y с адреса hxxp://zvub[.]us/.

В случае выполнения загрузчик сценариев оболочки загружал и выполнял следующие бот-клиенты для различных архитектур Linux:

  • hxxp://185.225.74[.]251/armv4l
  • hxxp://185.225.74[.]251/armv5l
  • hxxp://185.225.74[.]251/armv6l
  • hxxp://185.225.74[.]251/armv7l
  • hxxp://185.225.74[.]251/mips
  • hxxp://185.225.74[.]251/mipsel
  • hxxp://185.225.74[.]251/sh4
  • hxxp://185.225.74[.]251/x86_64
  • hxxp://185.225.74[.]251/i686
  • hxxp://185.225.74[.]251/i586
  • hxxp://185.225.74[.]251/arc
  • hxxp://185.225.74[.]251/m68k
  • hxxp://185.225.74[.]251/sparc

После выполнения клиента бота загрузчик сценариев оболочки удаляет исполняемый файл клиента, чтобы замести следы.

Исследователи Unit 42 провели анализ домена хоста вредоносной программы и обнаружили, что домену zvub[.]us соответствуют два IP-адреса:

  • 185.44.81[.]114 (с 15 августа 2022 года по 24 марта 2023 года)
  • 185.225.74[.]251 (после 25 марта 2023 года).

Проведя ретроспективный анализ, Unit 42 заметили попытки перебора telnet с адреса 185.44.81[.]114 с 6 октября 2022 года и попытки использования многочисленных уязвимостей с 14 марта 2023 года.

Исследователи Unit 42 также заметили еще одну кампанию с исходного IP 193.32.162[.]189 с 11 апреля 2023 года, которая поставляет тот же загрузчик оболочки с zvub[.]us. На основании нашего анализа Unit 42 считает, что этими двумя кампаниями управлял один и тот же угрожающий субъект по следующим причинам:

  • Обе кампании используют одну и ту же инфраструктуру.
  • Образцы ботнетов практически идентичны.

Исследователи Unit 42, анализируя загруженные образцы клиентов ботнета, отметили, что данный образец является вариантом ботнета Mirai.

После выполнения клиент ботнета выводит в консоль сообщение о прослушивании tun0. Вредоносная программа также содержит функцию, которая обеспечивает запуск только одного экземпляра этой вредоносной программы на одном устройстве. Если процесс ботнета уже существует, клиент ботнета завершает текущий запущенный процесс и запускает новый.

Для строки конфигурации клиента ботнета вариант Mirai (как и IZ1H9 и V3G4) сначала инициализирует таблицу зашифрованных строк, а затем извлекает строки через индекс. Однако этот вариант Mirai будет напрямую обращаться к зашифрованным строкам в разделе .rodata через индекс

Также обратите внимание, что для таких вариантов Mirai, как IZ1H9 и V3G4, конфигурация содержит строку, указывающую на имя ветви этого варианта (например, /bin/busybox IZ1H9), в то время как у этого варианта нет имени ветви.

Для расшифровки конфигурации этот вариант Mirai сначала использует табличный ключ 0xDEADBEEF для генерации однобайтового ключа расшифровки конфигурации 0x22, затем для зашифрованной конфигурации вредоносная программа выполняет XOR-дешифровку со следующими байтовыми операциями:

зашифрованный_знак ^ 0x22 = расшифрованный_знак

В ходе анализа исследователи Unit 42 заметили, что данный образец Mirai не содержит функциональности для перебора учетных данных входа в систему telnet/SSH и эксплуатации уязвимостей, что означает, что единственным каналом распространения данного варианта являются ручные попытки эксплуатации уязвимостей оператором ботнета.

Indicators of Compromise

IPv4

  • 185.225.74.251
  • 185.44.81.114
  • 193.32.162.189

Domains

  • zvub.us

URLs

  • http://185.225.74.251/arc
  • http://185.225.74.251/armv4l
  • http://185.225.74.251/armv5l
  • http://185.225.74.251/armv6l
  • http://185.225.74.251/armv7l
  • http://185.225.74.251/i586
  • http://185.225.74.251/i686
  • http://185.225.74.251/m68k
  • http://185.225.74.251/mips
  • http://185.225.74.251/mipsel
  • http://185.225.74.251/sh4
  • http://185.225.74.251/sparc
  • http://185.225.74.251/x86_64
  • http://zvub.us/

SHA256

  • 0d404a27c2f511ea7f4adb8aa150f787b2b1ff36c1b67923d6d1c90179033915
  • 2d0c8ab6c71743af8667c7318a6d8e16c144ace8df59a681a0a7d48affc05599
  • 366ddbaa36791cdb99cf7104b0914a258f0c373a94f6cf869f946c7799d5e2c6
  • 3f427eda4d4e18fb192d585fca1490389a1b5f796f88e7ebf3eceec51018ef4d
  • 413e977ae7d359e2ea7fe32db73fa007ee97ee1e9e3c3f0b4163b100b3ec87c2
  • 461f59a84ccb4805c4bbd37093df6e8791cdf1151b2746c46678dfe9f89ac79d
  • 4cb8c90d1e1b2d725c2c1366700f11584f5697c9ef50d79e00f7dd2008e989a0
  • 4f53eb7fbfa5b68cad3a0850b570cbbcb2d4864e62b5bf0492b54bde2bdbe44b
  • 888f4a852642ce70197f77e213456ea2b3cfca4a592b94647827ca45adf2a5b8
  • aaf446e4e7bfc05a33c8d9e5acf56b1c7e95f2d919b98151ff2db327c333f089
  • aed078d3e65b5ff4dd4067ae30da5f3a96c87ec23ec5be44fc85b543c179b777
  • b43a8a56c10ba17ddd6fa9a8ce10ab264c6495b82a38620e9d54d66ec8677b0c
  • b45142a2d59d16991a38ea0a112078a6ce42c9e2ee28a74fb2ce7e1edf15dce3
  • eca42235a41dbd60615d91d564c91933b9903af2ef3f8356ec4cfff2880a2f19
Похожие записи:
  1. WSzero Botnet IOCs
  2. Mirai (V3G4) Botnet IOCs
  3. Уязвимость WAN TP-Link CVE-2023-1389 добавлена в арсенал ботнета Mirai
  4. Mirai Botnet IOC
  5. [GS-003] Mirai Botnet IOCs
Botnet CVE-2019-12725 CVE-2019-17621 CVE-2019-20500 CVE-2021-25296 CVE-2021-46422 CVE-2022-27002 CVE-2022-29303 CVE-2022-30023 CVE-2022-30525 CVE-2022-31499 CVE-2022-37061 CVE-2022-40005 CVE-2022-45699 CVE-2023-1389 CVE-2023-25280 CVE-2023-27240 Mirai Unit 42
Добавить комментарий