Mbedbot：TLS加密的后门化僵尸网络

宣布时间 2023-09-27

人生就是博与广州大学网安学院发明了一个后门化的物联网DDoS僵尸网络，，，，，并将其命名为Mbedbot。。。。本文将从其执行流程、通讯协议、控制下令及后门等手艺剖析角度入手，，，，，对该僵尸网络举行周全先容，，，，，以作为各行业及相关企业制订网络清静战略的参考。。。。

2023年7月初，，，，，人生就是博在加入国家重点研发妄想项目“大规模异构物联网威胁可控捕获与剖析手艺（2022YFB3104100）”的研究历程中，，，，，发明了一个后门化的物联网DDoS僵尸网络家族。。。。

代码结构上，，，，，该僵尸网络复用了Mirai的DDoS攻击相关代码，，，，，并在其基础上增添https ddos以及tcp syn攻击能力。。。。与其它基于Mirai源码的主流僵尸网络差别的是，，，，，除DDoS功效之外，，，，，该僵尸网络还实现了远程文件治理、历程操作等诸多后门功效。。。。

并且，，，，，其使用tls协议与C2举行加密通讯。。。。因其所用tls类库为mbedtls，，，，，以是我们把此僵尸网络家族命名为Mbedbot。。。。

手艺剖析

现在为止，，，，，我们暂时只捕获到arm4架构的样本，，，，，未发明其它架构的样本。。。。Mbedbot整体代码很精练，，，，，没有太多花哨的地方，，，，，完成常见操作流程后，，，，，即进入和C2的交互通讯。。。。

1、执行流程

运行后，，，，，打印字符串"listening tun0"，，，，，并通过监听31212端口，，，，，实现简单实例运行。。。。之后通过异或解密出字符串资源，，，，，与Mirai的字符串高度重合：

人生就是博-尊龙凯时中国官网

随后，，，，，初始化DDoS攻击向量，，，，，共支持11个DDoS攻击方法。。。。初始化代码以及各个DDoS代码完全复用自Mirai：

人生就是博-尊龙凯时中国官网

但Mbedbot比Mirai多一个针对https协议的DDoS攻击类型attack_app_https，，，，，同样使用mbedtls库，，，，，这也是首次发明支持https协议的DDoS攻击。。。。

人生就是博-尊龙凯时中国官网

完成上述操作后，，，，，进入和C2交互通讯的循环函数。。。。在交互函数里，，，，，首先通过异或解密出C2地点，，，，，并使用tls协媾和C2建设通讯。。。。tls类库为mbedtls，，，，，其前身是PolarSLL，，，，，现已被ARM公司收购，，，，，由ARM手艺团队维护更新。。。。

人生就是博-尊龙凯时中国官网

使用tls加密之前网络的系统信息，，，，，发送给C2，，，，，随后期待执行C2下发的种种下令。。。。

2、通讯协议

Mbedbot的通讯协议相对简朴。。。。在和C2建设tls通讯之后，，，，，先向C2发送4字节的上线数据长度，，，，，2字节的数据类型"\xFF\xFF"，，，，，再发送受害系统信息（上线数据）。。。。

人生就是博-尊龙凯时中国官网

可见，，，，，Mbedbot网络的系统信息很周全。。。。其中：

huuid是硬编码的字符串，，，，，指示C2效劳器（host）身份id;

buuid则随机天生，，，，，体现受害主机（bot）身份id；；；；

version用于指示版本信息。。。。

发送上线数据之后，，，，，执行select函数，，，，，实验吸收C2下发的种种下令。。。。其中，，，，，Mbedbot每15分钟会向C2发送一次硬编码的“心跳“包，，，，，用以更新主机存活状态。。。。发送心跳包如下：

人生就是博-尊龙凯时中国官网

同时C2返回的17字节心跳包数据，，，，，如下：

其中前16字节"\xD9\x01....\x3B\x3F"是随机天生的SessionID，，，，，第16字节是下令码，，，，，\xFF体现是心跳包数据。。。。

人生就是博-尊龙凯时中国官网

3、控制下令&后门

Mbedbot实现了许多后门功效，，，，，包括文件类(建设读取上传下载执行)，，，，，执行shell历程，，，，，DDoS攻击，，，，，竣事指定历程，，，，，重置C2效劳器，，，，，退出自身历程等。。。。

人生就是博-尊龙凯时中国官网

Mbedbot的下令名堂较量简朴，，，，，前16字节是C2随机天生SessionID，，，，，统一通讯会话是唯一的。。。。第16字节是下令码，，，，，厥后是下令参数。。。。

人生就是博-尊龙凯时中国官网

以如下下令为例：

人生就是博-尊龙凯时中国官网

FC12…57D2，，，，，16字节SessionID；；；；

0x0F，，，，，1字节下令码，，，，，此下令用来设置并重新毗连新的C2效劳器。。。。

fakembedbotc2.com，，，，，下令参数，，，，，将C2效劳重视设为此。。。。

随后，，，，，受害主机实验剖析并毗连fakembedbotc2.com：

以下是各下令码及其对应后门功效：

人生就是博-尊龙凯时中国官网

结语

Mbedbot完整复用了Mirai的DDoS代码，，，，，并在其基础上新增两个“自研“的tcp syn攻击以及https ddos攻击能力。。。。并且，，，，，针对自身的后门功效举行了富厚，，，，，以实验增强对bot主机的控制能力。。。。

别的，，，，，相较于其它僵尸网络，，，，，Mbedbot直接使用tls加密和C2的通讯，，，，，只管通讯协议自己并不重大，，，，，但在tls加持下，，，，，能够有用的规避通例特征指纹检测。。。。

IOC

66.42.52.39:443

92.38.135.146:77

dftiscasdwe.w8510.com:443

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

人生就是博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系人生就是博

关于人生就是博