基于蜜罐的Mirai僵尸網(wǎng)絡追蹤技術研究*

杜 遜，吳 越，鄒福泰，李林森

（上海交通大學 網(wǎng)絡空間安全學院，上海 200240）

0 引 言

隨著物聯(lián)網(wǎng)的飛速發(fā)展和廣泛應用，物聯(lián)網(wǎng)的網(wǎng)絡安全問題已經(jīng)成為了一個重要的研究熱點問題。在騰訊2019年給出的關于IoT（Internet of Things）安全報告[1]中指出：IoT設備成為黑客的新一代目標，而其中，路由器則是黑客攻擊的首選目標同時報告中還指出，IoT的惡意軟件主要通過IoT的網(wǎng)絡安全漏洞傳播，同時DDoS攻擊也成為了IoT惡意軟件的主流功能[2]。在2018年卡巴斯基給出的一份關于IoT設備的網(wǎng)絡安全的報告中指出[3]，該公司通過對該公司蜜罐的數(shù)據(jù)包分析捕獲了大量的針對IoT的惡意樣本，根據(jù)惡意軟件攻擊的IP地址的地理位置統(tǒng)計發(fā)現(xiàn)，在所有已捕獲樣本的攻擊目標中，中國的IP地址占比13.95%，排名第二。

2017年Mirai僵尸網(wǎng)絡的爆發(fā)導致很多公共網(wǎng)站受到大規(guī)模DDoS（Distributed denial of service attack）攻擊，使得多家網(wǎng)站癱瘓。論文Understanding the Mirai Botnet[4]中對于Mirai僵尸網(wǎng)絡進行了完整的分析。

本文通過對Mirai僵尸網(wǎng)絡的研究，基于蜜罐的監(jiān)控系統(tǒng)，通過對流量監(jiān)控和數(shù)據(jù)包分析，給出了一種針對于Mirai僵尸網(wǎng)絡的溯源追蹤方法。本文第一章主要介紹了Mirai的源代碼分析；第二章介紹蜜罐監(jiān)控器的設計和追蹤的方法；第三章是我們的實驗過程及結(jié)果，通過對已搭建的Mirai攻擊場景進行模擬攻擊，成功追蹤到Mirai僵尸網(wǎng)絡的C&C（Command and Control）Server。結(jié)果表明，基于蜜罐的追蹤系統(tǒng)能夠有效的追蹤攻擊來源。

1 Mirai的源代碼分析

Mirai僵尸網(wǎng)絡是一種類蠕蟲病毒，主要通過感染IoT設備，達到控制對應的設備并對目標發(fā)動DDoS攻擊。本部分主要介紹和分析Mirai源代碼及其僵尸網(wǎng)絡結(jié)構(gòu)。

1.1 Mirai僵尸網(wǎng)絡結(jié)構(gòu)分析

如圖1所示，Mirai的傳播有以下幾部分，掃描易感目標，暴破（Brute Force）階段，加載惡意代碼。

圖1 Mirai的網(wǎng)絡結(jié)構(gòu)

掃描階段會使用已感染的bot進行隨機掃描，發(fā)現(xiàn)弱口令設備后會對該設備進行暴破。一旦暴力破解弱口令成功，Bot會將暴破成功的設備信息發(fā)送給Report Server，由Report Server向Loader Server發(fā)送加載惡意代碼的命令，加載成功后會將易感染的設備作為新的bot去進行隨機掃描感染下一批設備。當發(fā)動DDoS攻擊時，會由C&C Server向所有活的bot發(fā)送攻擊指令。關于Loader模塊和DDoS模塊會在1.2的源碼分析中詳細描述。

從Mirai的模型中可以看出，相較于傳統(tǒng)的僵尸網(wǎng)絡中的C&C Server，Mirai的C&C Server功能被弱化，傳統(tǒng)的僵尸網(wǎng)絡C&C Server同時具有掃描、傳播、暴破和控制僵尸機發(fā)動攻擊等功能，而Mirai的C&C Server只保留了與bot的定期通信功能和發(fā)動DDoS攻擊功能，傳播和加載惡意代碼則由相應的bot和Loader來完成。在這種結(jié)構(gòu)下，追蹤Mirai的C&C Server服務器，需要通過對bot的通信和數(shù)據(jù)包分析，追蹤攻擊指令的來源。

1.2 Mirai源代碼分析

通過在服務器搭建Mirai僵尸網(wǎng)絡攻擊環(huán)境，我們對Mirai的源代碼進行了較完整的閱讀和分析。Mirai源代碼包括兩個部分：Loader和bot。其中bot中包括惡意代碼和DDoS攻擊模塊，Loader包括加載惡意代碼的模塊，下文中的1.2.1和1.2.2將分別對兩個模塊進行詳細的分析。

1.2.1 Loader 模塊

在Loader模塊中包含四個主要的文件：其中headers 包含必要的頭文件；binary.c功能是將bins目錄下的二進制文件讀到內(nèi)存，然后以echo方式上傳到payload中；connection.c文件作用是根據(jù)loader和Bot 交互過程中的狀態(tài)信息來做出判斷當前狀態(tài)是否正常；server.c則是向已經(jīng)暴破成功的感染設備發(fā)起telnet 通信，并發(fā)payload文件。

在Loader下的main.c文件中，使用了echo、wget和 tftp三種上傳方式，同時對于通信端口和通信操作做了規(guī)定。

1.2.2 DDoS攻擊模塊

在C&C Server模塊中對于Attack的指令進行了規(guī)定，構(gòu)造攻擊指令使用了16字節(jié)的指令方式。

在Attack.h的文件中給出了Mirai支持的攻擊方式，包括UDP、TCP和SYN flood等，同時在對DDoS攻擊模塊測試得到的數(shù)據(jù)包可以得到對應的指令數(shù)據(jù)格式。如圖2所示，可以看出，數(shù)據(jù)包后16位是完全按照C&C Server中對于攻擊指令的構(gòu)造方法構(gòu)造的，同時對于每一位，在都給出了對應的邏輯，這使得對Mirai僵尸網(wǎng)絡的攻擊預警與C&C Server服務器的追蹤提供了有效的支撐。

圖2 Mirai 數(shù)據(jù)包格式

2 蜜罐系統(tǒng)設計

蜜罐是一種被密切監(jiān)控的網(wǎng)絡誘餌，用于吸引攻擊者，從而為真實系統(tǒng)提供有關攻擊的類型與攻擊傾向的數(shù)據(jù)。同時，通過分析被攻擊過的蜜罐，我們可以對攻擊者的行為進行深入分析。基于蜜罐獲得的高保真高質(zhì)量的數(shù)據(jù)集有效避免了以往海量日志分析的繁瑣過程，并且對于蜜罐的任何連接訪問都是攻擊信息，不再像以前的特征分析具有一定的滯后性，可以有效的用于捕獲新型的攻擊和方法[5]。

按照可交互程度，蜜罐可分為低交互蜜罐（low-interaction honeypot）、中交互蜜罐（interaction honeypot）以及高交互蜜罐（high-interaction honeypot）。

隨著虛擬化技術的發(fā)展，以及物理蜜罐的高額的硬件部署成本問題，虛擬蜜罐得到了快速發(fā)展。借助虛擬機技術和容器技術[6]，我們可以在一臺主機上實現(xiàn)整個集數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析于一體的多功能多蜜罐高交互蜜網(wǎng)的體系架構(gòu)。

為了能夠?qū)崿F(xiàn)對于Mirai僵尸網(wǎng)絡的攻擊追蹤，蜜罐系統(tǒng)需要具備以下幾個功能：

（1）能夠監(jiān)控系統(tǒng)本身的行為，對于蜜罐本身的系統(tǒng)操作和進程進行監(jiān)控。

（2）能夠監(jiān)控蜜罐的網(wǎng)絡流量，為了實現(xiàn)對于DDoS攻擊的指令的追蹤，需要對于蜜罐全端口的進出口流量進行監(jiān)控，并同時能夠?qū)崿F(xiàn)對于數(shù)據(jù)包的分析。

（3）能夠規(guī)范化的處理日志，由于惡意代碼在傳播完成后一般都會刪除自身，因此蜜罐需要對短期內(nèi)刪除的文件有恢復的功能。

下文將對于蜜罐系統(tǒng)中蜜罐監(jiān)控器的設計進行描述。

圖3 蜜罐監(jiān)控器的系統(tǒng)結(jié)構(gòu)

整體蜜罐結(jié)構(gòu)如圖3所示，蜜罐監(jiān)控器選用了Docker + Sysdig的結(jié)構(gòu)，Docker作為現(xiàn)在的主流容器之一，使用Docker可以將蜜罐與物理機隔離開，同時Docker在環(huán)境的遷移和部署上也能夠在很大程度上縮減工作量。

Sysdig[7]作為一款用于蜜罐的系統(tǒng)監(jiān)控器，能夠滿足對于Mirai攻擊追蹤的分析。Sysdig是一個開源的系統(tǒng)監(jiān)控、分析和排障工具。Sysdig的具有整合、強大與靈活的優(yōu)點。僅使用Sysdig一個工具就能實現(xiàn)上述所有工具的功能，并且提供了統(tǒng)一的使用語法。在功能方面，Sysdig能獲取實時系統(tǒng)數(shù)據(jù)，也能將信息保存到文件供日后分析，捕獲的數(shù)據(jù)包括但不限于CPU、內(nèi)存、硬盤I/O、網(wǎng)絡I/O、進程、文件和網(wǎng)絡連接等。Sysdig提供了強大的過濾語法、邏輯以及工具，同時允許用戶編寫對應的Lua腳本來定義分析邏輯。

數(shù)據(jù)流量的監(jiān)控使用的是基于Tshark的監(jiān)控器。Tshark作為Wireshark的命令行工具，可以通過自定義啟動參數(shù)，針對于蜜罐的IP進行抓取，Tshark生成的數(shù)據(jù)包文件格式為.pcapng格式，抓取的數(shù)據(jù)包會通過自定義的檢測規(guī)則達到追蹤發(fā)動攻擊的C&C SERVER的目的。

3 實驗結(jié)果與分析

3.1 Mirai樣本的檢測

蜜罐捕獲到樣本之后，需要對樣本進行分析，判斷是否屬于Mirai及其變種的家族。通過參考蔣永康等研究者關于圖形矢量用于惡意代碼的分類模型[6]，我們發(fā)現(xiàn)通過圖像矢量的方法能夠有效地分析惡意樣本的家族關系，并能判斷其是否屬于Mirai族。在這個基礎上，對于蜜罐中的樣本進行分析[8]，篩選屬于Mirai家族的惡意樣本，同時可以對其通信數(shù)據(jù)包進行監(jiān)控和檢測[9]，判斷是否存在DDoS攻擊并獲取攻擊的相關參數(shù)。

3.2 Mirai的攻擊指令追蹤

在1.2.2中，提到了對于Mirai的攻擊指令數(shù)據(jù)包具有規(guī)范的數(shù)據(jù)包格式，通過對數(shù)據(jù)包格式的分析可以通過表1中基于數(shù)據(jù)包的攻擊指令提取算法進行攻擊指令分析。

表1 基于數(shù)據(jù)包的攻擊指令提取

在步驟1中通過調(diào)用對數(shù)據(jù)包P進行解析，通過步驟2的判斷屬于攻擊指令的類型，從數(shù)據(jù)包中拿出cmd的16字指令，步驟4到步驟6從16字節(jié)攻擊指令中提取出對應的攻擊參數(shù)，其中前四位為攻擊持續(xù)時間，單位為秒；第五位為對應的攻擊類型；接下來五位為攻擊目標；后面六位為對應的校驗位和標志位。

3.3 實驗結(jié)果與分析

實驗中，采用的是Mirai原種的僵尸網(wǎng)絡作為攻擊場景，使用攻擊場景進行掃描傳播并成功感染到蜜罐。

在實驗中，共發(fā)動六次針對不同靶機的DDoS攻擊，表2給出的是攻擊場景發(fā)動的六次攻擊的攻擊時間，攻擊持續(xù)時間及攻擊目標，表3則是對應蜜罐的追蹤到攻擊來源的相關攻擊參數(shù)，包括攻擊來源IP、攻擊所用的協(xié)議及持續(xù)時間。實驗結(jié)果中可以看出，對于時長超過一分鐘的DDoS攻擊，蜜罐能夠做到有效追蹤到Mirai的C&C SERVER服務器。同時對于部署公網(wǎng)的蜜罐，的確具有能夠誘捕Mirai樣本的能力。

表2 攻擊場景攻擊

表3 蜜罐追蹤結(jié)果

4 結(jié) 語

本文主要給出了蜜罐對于Mirai物聯(lián)網(wǎng)僵尸網(wǎng)絡在追蹤C&C SERVER服務器中的應用和效果，詳細闡述了蜜罐系統(tǒng)中各個模塊的設計和相關算法，同時在Mirai僵尸網(wǎng)絡攻擊場景上進行了實驗。相較于傳統(tǒng)的僵尸網(wǎng)絡DDoS攻擊的追蹤，由于物聯(lián)網(wǎng)設備其帶寬低、計算性能弱，使用蜜罐在用于對Mirai等物聯(lián)網(wǎng)僵尸網(wǎng)絡的追蹤上有較好的效果。

綜上，蜜罐能夠成功的對Mirai僵尸網(wǎng)絡DDoS攻擊進行追蹤，但由于Mirai開源導致的Mirai變種的開發(fā)難度大大降低，如何開發(fā)針對物聯(lián)網(wǎng)設備不易被反蜜罐系統(tǒng)檢測到蜜罐，是今后進一步的研究方向。