Mirai-like 僵尸网络扫描活动分析教学文档<\/h3>

1. 事件背景<\/strong><\/h4>

时间与来源<\/strong>：2018年4月，中国境内检测到类似Mirai僵尸网络的扫描活动，主要针对巴西目标。<\/li>
Mirai特征<\/strong>：

通过感染IoT设备（如摄像头、路由器）组建僵尸网络，发起DDoS攻击。<\/li>
利用默认凭证爆破（Telnet\/SSH）传播，扫描行为表现为高频次TCP SYN请求。<\/li> <\/ul> <\/li> <\/ul>

2. 关键知识点<\/strong><\/h4>
2.1 Mirai技术分析<\/strong><\/h5>

传播方式<\/strong>：

扫描开放23\/2323（Telnet）或22（SSH）端口的设备，尝试常见弱口令（如admin:admin<\/code>）。<\/li>
利用漏洞（如CVE-2017-17215）感染设备。<\/li> <\/ul> <\/li>
攻击链<\/strong>：扫描→感染→C2连接→接收攻击指令（HTTP\/UDP Flood等） <\/code><\/pre> <\/li> 隐蔽性<\/strong>：进程伪装（如随机命名）、内存驻留（无持久化文件）。<\/li> <\/ul> <\/li> <\/ul> 2.2 检测与防御<\/strong><\/h5> 检测指标（IoC）<\/strong>：网络层：异常Telnet\/SSH登录尝试（如每分钟>50次）。<\/li> 主机层：未知进程访问\/dev\/mem<\/code>（内存操作）。<\/li> <\/ul> <\/li> 防御措施<\/strong>：禁用默认凭证，启用双因素认证。<\/li> 网络分段隔离IoT设备，部署IDS（如Suricata）监控扫描流量。<\/li> <\/ul> <\/li> <\/ul> 3. 关联技术扩展<\/strong><\/h4> HELK vs APTSimulator<\/strong>（文中提及的威胁狩猎工具）： HELK<\/strong>：基于Elasticsearch的威胁分析平台，支持日志聚合和ATT&CK映射。<\/li> APTSimulator<\/strong>：模拟高级威胁行为的红队工具，用于检测盲点。<\/li> <\/ul> <\/li> Outlook OLE漏洞利用<\/strong>：通过恶意OLE对象窃取密码哈希，需禁用宏并更新补丁（如CVE-2018-0792）。<\/li> <\/ul> <\/li> <\/ul> 4. 物联网安全成熟度模型<\/strong><\/h4> 核心要素<\/strong>：基础防护<\/strong>：设备认证、固件签名。<\/li> 高级防护<\/strong>：运行时行为监控（如Anomaly Detection）。<\/li> <\/ul> <\/li> 应用场景<\/strong>：企业可参考模型评估IoT设备生命周期安全性。<\/li> <\/ul> 5. 实战工具推荐<\/strong><\/h4> Invoke-DOSfuscation<\/strong>：混淆PowerShell命令绕过AV检测。<\/li> RFD Checker<\/strong>：检测反射文件下载漏洞（如example.com\/download?file=evil.exe<\/code>）。<\/li> ARM Shellcode开发<\/strong>：需注意架构差异（如寄存器指令集）。<\/li> <\/ul> 6. 总结与行动建议<\/strong><\/h4> 紧急响应<\/strong>：检查暴露的IoT设备，更新固件至最新版本。<\/li> 监控巴西IP段的异常连接（如Shodan搜索port:23 country:BR<\/code>）。<\/li> <\/ul> <\/li> 长期规划<\/strong>：建立威胁情报订阅（如Mirai C2域名列表）。<\/li> 定期红蓝对抗演练，测试防御体系有效性。<\/li> <\/ul> <\/li> <\/ul> 附录<\/strong><\/p> 参考链接：SecWiki历史存档<\/a><\/li> 监测规则示例（Snort）： alert tcp any any -> any 23 (msg:"Mirai Telnet Scan"; content:"login"; threshold:type threshold, track by_src, count 5, seconds 60;) <\/code><\/pre> <\/li> <\/ul> （文档完）<\/p>