Mirai-like 僵尸网络扫描活动分析教学文档

1. 事件背景

• 时间与来源：2018年4月，中国境内检测到类似Mirai僵尸网络的扫描活动，主要针对巴西目标。
• Mirai特征：
  • 通过感染IoT设备（如摄像头、路由器）组建僵尸网络，发起DDoS攻击。
  • 利用默认凭证爆破（Telnet/SSH）传播，扫描行为表现为高频次TCP SYN请求。

2. 关键知识点

2.1 Mirai技术分析

• 传播方式：
  • 扫描开放23/2323（Telnet）或22（SSH）端口的设备，尝试常见弱口令（如admin:admin）。
  • 利用漏洞（如CVE-2017-17215）感染设备。
• 攻击链：

  扫描→感染→C2连接→接收攻击指令（HTTP/UDP Flood等）  
  

• 隐蔽性：
  • 进程伪装（如随机命名）、内存驻留（无持久化文件）。

2.2 检测与防御

• 检测指标（IoC）：
  • 网络层：异常Telnet/SSH登录尝试（如每分钟>50次）。
  • 主机层：未知进程访问/dev/mem（内存操作）。
• 防御措施：
  • 禁用默认凭证，启用双因素认证。
  • 网络分段隔离IoT设备，部署IDS（如Suricata）监控扫描流量。

3. 关联技术扩展

• HELK vs APTSimulator（文中提及的威胁狩猎工具）：
  • HELK：基于Elasticsearch的威胁分析平台，支持日志聚合和ATT&CK映射。
  • APTSimulator：模拟高级威胁行为的红队工具，用于检测盲点。
• Outlook OLE漏洞利用：
  • 通过恶意OLE对象窃取密码哈希，需禁用宏并更新补丁（如CVE-2018-0792）。

4. 物联网安全成熟度模型

• 核心要素：
  • 基础防护：设备认证、固件签名。
  • 高级防护：运行时行为监控（如Anomaly Detection）。
• 应用场景：企业可参考模型评估IoT设备生命周期安全性。

5. 实战工具推荐

• Invoke-DOSfuscation：混淆PowerShell命令绕过AV检测。
• RFD Checker：检测反射文件下载漏洞（如example.com/download?file=evil.exe）。
• ARM Shellcode开发：需注意架构差异（如寄存器指令集）。

6. 总结与行动建议

• 紧急响应：
  • 检查暴露的IoT设备，更新固件至最新版本。
  • 监控巴西IP段的异常连接（如Shodan搜索port:23 country:BR）。
• 长期规划：
  • 建立威胁情报订阅（如Mirai C2域名列表）。
  • 定期红蓝对抗演练，测试防御体系有效性。

附录

• 参考链接：SecWiki历史存档
• 监测规则示例（Snort）：

  alert tcp any any -> any 23 (msg:"Mirai Telnet Scan"; content:"login"; threshold:type threshold, track by_src, count 5, seconds 60;)  
  

（文档完）