Mbedbot：TLS加密的后门化僵尸网络

宣布时间 2023-09-27

东森平台与广州大学网安学院发现了一个后门化的物联网DDoS僵尸网络，并将其命名为Mbedbot。本文将从其执行流程、通信协议、控制命令及后门等技术分析角度入手，对该僵尸网络进行全面介绍，以作为各行业及相关企业制定网络宁静计谋的参考。

2023年7月初，东森平台在加入国家重点研发计划项目“大规模异构物联网威胁可控捕捉与分析技术（2022YFB3104100）”的研究过程中，发现了一个后门化的物联网DDoS僵尸网络家族。

代码结构上，该僵尸网络复用了Mirai的DDoS攻击相关代码，并在其基础上增加https ddos以及tcp syn攻击能力。与其它基于Mirai源码的主流僵尸网络差异的是，除DDoS功效之外，该僵尸网络还实现了远程文件管理、进程操作等诸多后门功效。

而且，其使用tls协议与C2进行加密通信。因其所用tls类库为mbedtls，所以我们把此僵尸网络家族命名为Mbedbot。

技术分析

目前为止，我们暂时只捕捉到arm4架构的样本，未发现其它架构的样本。Mbedbot整体代码很简洁，没有太多花哨的地方，完成常见操作流程后，即进入和C2的交互通信。

1、执行流程

运行后，打印字符串"listening tun0"，并通过监听31212端口，实现单一实例运行。之后通过异或解密出字符串资源，与Mirai的字符串高度重合：

东森·(中国区)官方网站

随后，初始化DDoS攻击向量，共支持11个DDoS攻击方式。初始化代码以及各个DDoS代码完全复用自Mirai：

东森·(中国区)官方网站

但Mbedbot比Mirai多一个针对https协议的DDoS攻击类型attack_app_https，同样使用mbedtls库，这也是首次发现支持https协议的DDoS攻击。

东森·(中国区)官方网站

完成上述操作后，进入和C2交互通信的循环函数。在交互函数里，首先通过异或解密出C2地址，并使用tls协议和C2建立通信。tls类库为mbedtls，其前身是PolarSLL，现已被ARM公司收购，由ARM技术团队维护更新。

东森·(中国区)官方网站

使用tls加密之前收集的系统信息，发送给C2，随后期待执行C2下发的种种命令。

2、通信协议

Mbedbot的通信协议相对简单。在和C2建立tls通信之后，先向C2发送4字节的上线数据长度，2字节的数据类型"\xFF\xFF"，再发送受害系统信息（上线数据）。

东森·(中国区)官方网站

可见，Mbedbot收集的系统信息很全面。其中：

huuid是硬编码的字符串，指示C2服务器（host）身份id;

buuid则随机生成，体现受害主机（bot）身份id；

version用于指示版本信息。

发送上线数据之后，执行select函数，实验接收C2下发的种种命令。其中，Mbedbot每15分钟会向C2发送一次硬编码的“心跳“包，用以更新主机存活状态。发送心跳包如下：

东森·(中国区)官方网站

同时C2返回的17字节心跳包数据，如下：

其中前16字节"\xD9\x01....\x3B\x3F"是随机生成的SessionID，第16字节是命令码，\xFF体现是心跳包数据。

东森·(中国区)官方网站

3、控制命令&后门

Mbedbot实现了很多后门功效，包罗文件类(创建读取上传下载执行)，执行shell进程，DDoS攻击，结束指定进程，重置C2服务器，退出自身进程等。

东森·(中国区)官方网站

Mbedbot的命令格式比力简单，前16字节是C2随机生成SessionID，同一通信会话是唯一的。第16字节是命令码，其后是命令参数。

东森·(中国区)官方网站

以如下命令为例：

东森·(中国区)官方网站

FC12…57D2，16字节SessionID；

0x0F，1字节命令码，此命令用来设置并重新连接新的C2服务器。

fakembedbotc2.com，命令参数，将C2服务器重设为此。

随后，受害主机实验解析并连接fakembedbotc2.com：

以下是各命令码及其对应后门功效：

东森·(中国区)官方网站

结语

Mbedbot完整复用了Mirai的DDoS代码，并在其基础上新增两个“自研“的tcp syn攻击以及https ddos攻击能力。而且，针对自身的后门功效进行了富厚，以实验加强对bot主机的控制能力。

此外，相较于其它僵尸网络，Mbedbot直接使用tls加密和C2的通信，尽管通信协议自己并不庞大，但在tls加持下，能够有效的规避通例特征指纹检测。

IOC

66.42.52.39:443

92.38.135.146:77

dftiscasdwe.w8510.com:443

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

关于东森平台