Mirai

关于 mirai 僵尸网络控制主机的数据分析

之前的文章中已经提及,我们的僵尸网络跟踪系统对mirai僵尸网络控制主机做了持续跟踪,并且在文章的结尾处,依据跟踪结果排除了僵尸网络操作者位于北京时区的可能。在这篇文章中,我们将进一步分析mirai僵尸网络的控制主机的行为和特征。之前文章链接如下: http://blog.netlab.360.com/a-dyn-twitter-ddos-event-report-and-mirai-botnet-review/ 目前为止,我们与安全社区合作共享了两位数域名上的超过50个mirai僵尸网络主控。但本文后面的分析仅针对360网络安全研究院独立发现的主控,即13个域名上的16个主控主机名,其中8个在持续对外发起攻击。 在时间线上,我们可以看到各主控随时间变化的注册、在DNS中首次出现、持续保持IP地址变化、首次被监控到发起攻击等事件。地理分布方面,主控的IP地理分布主要在欧洲和美国,尤以欧洲为甚,亚洲很少,这从侧面增强了之前“mirai控制者不在北京时区”的判断。 域名注册信息方面,绝大多数主控在域名注册时在TLD、注册局、注册邮箱方面设置了多重障碍阻滞安全社区的进一步分析
  • Li Fengpei
    Li Fengpei
7 min read
Mirai

关于 dyn / twitter 受攻击情况的说明和 mirai 僵尸网络的回顾

【更新记录】 2016-10-23 初始版本 2016-10-27 获得了少量攻击现场数据,分析结果与之前观点吻合一致。 北京时间2016年10月21 日晚间,北美地区大量反馈若干重要的互联网网站无法正常访问。涉及到的网站包括 twitter, paypal,github等等,由于这些网站与北美地区日常生活强烈相关,这次网络故障被北美主要媒体广泛报道,也引起了安全社区的强烈关注。我们与国外安全社区一起协同,对本次网络事件提供数据、加以分析并做了溯源跟踪。 目前我们已经能够确定本次事件是一次DDoS网络攻击事件,攻击目标主要是Dynamic Network Services(dyn)公司,twitter、paypal、github等网站作为dyn公司的客户,在本次攻击中不幸被波及。 在攻击持续溯源的过程中,虽然目前Flashpoint公司已经确认最近广泛受关注的mirai僵尸网络参与了本次网络攻击,但是我们倾向认为虽然mirai贡献了本次攻击的部分攻击流量,但并非所有的攻击流量都来自原始泄漏版本mirai。具体来源不明,可能是源自我们数据地缘性导致的分析误差,也可能是来自
  • Li Fengpei
    Li Fengpei
14 min read