Mbedbot：TLS加密的后门化僵尸网络

宣布时间 2023-09-27

优发国际网站官网与广州大学网安学院发明了一个后门化的物联网DDoS僵尸网络，并将其命名为Mbedbot。本文将从其执行流程、通讯协议、控制下令及后门等手艺剖析角度入手，对该僵尸网络举行周全先容，以作为各行业及相关企业制订网络清静战略的参考。

2023年7月初，优发国际网站官网在加入国家重点研发妄想项目“大规模异构物联网威胁可控捕获与剖析手艺（2022YFB3104100）”的研究历程中，发明了一个后门化的物联网DDoS僵尸网络家族。

代码结构上，该僵尸网络复用了Mirai的DDoS攻击相关代码，并在其基础上增添https ddos以及tcp syn攻击能力。与其它基于Mirai源码的主流僵尸网络差别的是，除DDoS功效之外，该僵尸网络还实现了远程文件治理、历程操作等诸多后门功效。

并且，其使用tls协议与C2举行加密通讯。因其所用tls类库为mbedtls，以是我们把此僵尸网络家族命名为Mbedbot。

手艺剖析

现在为止，我们暂时只捕获到arm4架构的样本，未发明其它架构的样本。Mbedbot整体代码很精练，没有太多花哨的地方，完成常见操作流程后，即进入和C2的交互通讯。

1、执行流程

运行后，打印字符串"listening tun0"，并通过监听31212端口，实现简单实例运行。之后通过异或解密出字符串资源，与Mirai的字符串高度重合：

优发国际·随优而动一触即发

随后，初始化DDoS攻击向量，共支持11个DDoS攻击方法。初始化代码以及各个DDoS代码完全复用自Mirai：

优发国际·随优而动一触即发

但Mbedbot比Mirai多一个针对https协议的DDoS攻击类型attack_app_https，同样使用mbedtls库，这也是首次发明支持https协议的DDoS攻击。

优发国际·随优而动一触即发

完成上述操作后，进入和C2交互通讯的循环函数。在交互函数里，首先通过异或解密出C2地点，并使用tls协媾和C2建设通讯。tls类库为mbedtls，其前身是PolarSLL，现已被ARM公司收购，由ARM手艺团队维护更新。

优发国际·随优而动一触即发

使用tls加密之前网络的系统信息，发送给C2，随后期待执行C2下发的种种下令。

2、通讯协议

Mbedbot的通讯协议相对简朴。在和C2建设tls通讯之后，先向C2发送4字节的上线数据长度，2字节的数据类型"\xFF\xFF"，再发送受害系统信息（上线数据）。

优发国际·随优而动一触即发

可见，Mbedbot网络的系统信息很周全。其中：

huuid是硬编码的字符串，指示C2服务器（host）身份id;

buuid则随机天生，体现受害主机（bot）身份id；

version用于指示版本信息。

发送上线数据之后，执行select函数，实验吸收C2下发的种种下令。其中，Mbedbot每15分钟会向C2发送一次硬编码的“心跳“包，用以更新主机存活状态。发送心跳包如下：

优发国际·随优而动一触即发

同时C2返回的17字节心跳包数据，如下：

其中前16字节"\xD9\x01....\x3B\x3F"是随机天生的SessionID，第16字节是下令码，\xFF体现是心跳包数据。

优发国际·随优而动一触即发

3、控制下令&后门

Mbedbot实现了许多后门功效，包括文件类(建设读取上传下载执行)，执行shell历程，DDoS攻击，竣事指定历程，重置C2服务器，退出自身历程等。

优发国际·随优而动一触即发

Mbedbot的下令名堂较量简朴，前16字节是C2随机天生SessionID，统一通讯会话是唯一的。第16字节是下令码，厥后是下令参数。

优发国际·随优而动一触即发

以如下下令为例：

优发国际·随优而动一触即发

FC12…57D2，16字节SessionID；

0x0F，1字节下令码，此下令用来设置并重新毗连新的C2服务器。

fakembedbotc2.com，下令参数，将C2服务重视设为此。

随后，受害主机实验剖析并毗连fakembedbotc2.com：

以下是各下令码及其对应后门功效：

优发国际·随优而动一触即发

结语

Mbedbot完整复用了Mirai的DDoS代码，并在其基础上新增两个“自研“的tcp syn攻击以及https ddos攻击能力。并且，针对自身的后门功效举行了富厚，以实验增强对bot主机的控制能力。

别的，相较于其它僵尸网络，Mbedbot直接使用tls加密和C2的通讯，只管通讯协议自己并不重大，但在tls加持下，能够有用的规避通例特征指纹检测。

IOC

66.42.52.39:443

92.38.135.146:77

dftiscasdwe.w8510.com:443

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

关于优发国际网站官网