DDoS

Background On March 26, 2020, we captured a suspicious sample11c1be44041a8e8ba05be9df336f9231. Although the samples have the word mirai in their names and most antivirus engines identified it as Mirai, its network traffic is totally

背景 2020年3月26日我们捕获了一个可疑的样本 11c1be44041a8e8ba05be9df336f9231，大部分杀毒引擎将其识别为Mirai，但是其网络流量却不符合Mirai的特征，这引起了注意，经分析，这是一个复用了Mirai的Reporter，Loader机制，重新设计了加密方法以及C2通信协议的Bot程序。 Mirai已经是安全社区非常熟悉的老朋友，蜜罐系统每天都能捕获大量的Mirai变种，这些变种都非常简单:要么是换一换C2;要么改一改加密的Key;要么集成些新的漏洞扫描……这些入门级的DDoser已经不能引起我们的任何兴趣了。这个Bot程序之所以能在众多变种脱颖而出，一是因为它独特的的加密方法，严谨的通信协议；二是因为在溯源过程中，我们发现它很有可能隶属于Moobot团伙而且正在迭代开发中（就在我们编写本文的同时作者更新了第三个版本，增加了一些新功能，更换了新的Tor CC vbrxmrhrjnnouvjf.onion:31337）。基于这些原因，我们决定将它曝光。因为传播过程中使用H0z3r字串(/bin/