转载

Mirai 变种中的DGA

概要

两个星期前，我们发现2个新的感染载体（也即TCP端口7547和5555变种）被用来传播MIRAI恶意软件。

< A Few Observations of The New Mirai Variant on Port 7547 >

我的同事Ye Genshen快速设置了一些蜜罐，并且很快取得收获：11月28日一天就捕获了11个样本。迄今为止，我们的蜜罐已从6个托管服务器捕获了53个独立样本。

在分析其中一个新样本时，我的同事Qu Wenji发现一些类似DGA的代码，并猜测变种中包含有DGA功能，这个猜测很快就从我们的沙箱数据中得到验证。详细的逆向工作显示，在通过TCP端口7547和5555分发的MIRAI样本中确实存在DGA特征。在本博客中，我将介绍我们的发现。简单来说，我们找到的DGA的属性总结如下：

使用3个顶级域名：online/tech/support；
L2域名固定长度12字符，每个字符从“a”到“z”中随机选择；
域名仅由月、日和硬编码的种子字符串确定；
每天只生成一个域名，因此最多存在365个 DGA域名；
DGA域名仅在硬编码的C2域名无法解析时使用。

通过逆向获取的DGA知识，我们在程序中重新实现了DGA，并用它来预测所有365个可能的域名。当进一步确认这些域名的注册信息时，我们发现其中部分域名已经被MIRAI作者注册，列表如下：

Mirai 变种中的DGA

图0, 已经被注册的DGA域名

值得一提的是，作者 dlinchkravitz@gmail.com在更早时间已经注册了其他mirai C2域名：

zugzwang.me email dlinchkravitz@gmail.com

样本和分析

本博客中用作说明的样本如下：

* MD5 : bf136fb3b350a96fd1003b8557bb758a

* SHA256 : 971156ec3dca4fa5c53723863966ed165d546a184f3c8ded008b029fd59d6a5a

* File type : ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped

样品做了去符号处理但未加壳。根据以分析mirai样本经验，我们很快就确定了其主要模块。比较代码发现，resolv cnc addr函数的CFG（流程控制图）与先前发现的样本非常不同。新版本的CFG如图1所示。 Mirai 变种中的DGA

图1, 新版本的resolv_cnc_addr 流程控制图

在函数开始处，由于在样本中硬编码了多达3个C2域名，所以生成随机数以从第一和第二个C2域名中随机选择一个，如图2所示。 Mirai 变种中的DGA

图2, resolv_cnc_addr 函数第一部分

如果被选中的C2域名无法解析，则bot并不解析未选择的域名或第三域名，而是将根据当前日期判断是决定是否去执行DGA代码分支还是去解析第三个C2域名，如图3。 Mirai 变种中的DGA

图3, 决定是否进入DGA 代码分支

从上述代码片段我们可以看出，如果当前日期在11月1日和12月3日之间，将去解析第3个C2域名。否则将执行DGA代码分支。这可以理解为作者不希望DGA域名在12月4日之前被启用，这也恰好被前文提及首个被注册的mirai DGA域名对应于12月4日所映证。 DGA主函数名为dga gen domain。域名完全是基于种子数字和当前日期生成的。种子通过调用strtol（）从硬编码的十六进制格式字符串进行转换。看起来字符串“/x90/x91/x80/x90/x90/x91/x80/x90”是一个错误的配置，这会导致strtol（）总是返回0。

代码中通过调用time（）和localtime（）的C库函数得到本地日期。但只有月和日被使用，如图4所示。 Mirai 变种中的DGA