Mbedbot：TLS加密的后门化僵尸网络

宣布时间 2023-09-27

918博天堂与广州大学网安学院发明了一个后门化的物联网DDoS僵尸网络，，，，，并将其命名为Mbedbot。。。。本文将从其执行流程、通讯协议、控制下令及后门等手艺剖析角度入手，，，，，对该僵尸网络举行周全先容，，，，，以作为各行业及相关企业制订网络清静战略的参考。。。。

2023年7月初，，，，，918博天堂在加入国家重点研发妄想项目“大规模异构物联网威胁可控捕获与剖析手艺（2022YFB3104100）”的研究历程中，，，，，发明了一个后门化的物联网DDoS僵尸网络家族。。。。

代码结构上，，，，，该僵尸网络复用了Mirai的DDoS攻击相关代码，，，，，并在其基础上增添https ddos以及tcp syn攻击能力。。。。与其它基于Mirai源码的主流僵尸网络差别的是，，，，，除DDoS功效之外，，，，，该僵尸网络还实现了远程文件治理、历程操作等诸多后门功效。。。。

并且，，，，，其使用tls协议与C2举行加密通讯。。。。因其所用tls类库为mbedtls，，，，，以是我们把此僵尸网络家族命名为Mbedbot。。。。

手艺剖析

现在为止，，，，，我们暂时只捕获到arm4架构的样本，，，，，未发明其它架构的样本。。。。Mbedbot整体代码很精练，，，，，没有太多花哨的地方，，，，，完成常见操作流程后，，，，，即进入和C2的交互通讯。。。。

1、执行流程

运行后，，，，，打印字符串"listening tun0"，，，，，并通过监听31212端口，，，，，实现简单实例运行。。。。之后通过异或解密出字符串资源，，，，，与Mirai的字符串高度重合：

918博天堂(中国游)最新官方网站

随后，，，，，初始化DDoS攻击向量，，，，，共支持11个DDoS攻击方法。。。。初始化代码以及各个DDoS代码完全复用自Mirai：

918博天堂(中国游)最新官方网站

但Mbedbot比Mirai多一个针对https协议的DDoS攻击类型attack_app_https，，，，，同样使用mbedtls库，，，，，这也是首次发明支持https协议的DDoS攻击。。。。

918博天堂(中国游)最新官方网站

完成上述操作后，，，，，进入和C2交互通讯的循环函数。。。。在交互函数里，，，，，首先通过异或解密出C2地点，，，，，并使用tls协媾和C2建设通讯。。。。tls类库为mbedtls，，，，，其前身是PolarSLL，，，，，现已被ARM公司收购，，，，，由ARM手艺团队维护更新。。。。

918博天堂(中国游)最新官方网站

使用tls加密之前网络的系统信息，，，，，发送给C2，，，，，随后期待执行C2下发的种种下令。。。。

2、通讯协议

Mbedbot的通讯协议相对简朴。。。。在和C2建设tls通讯之后，，，，，先向C2发送4字节的上线数据长度，，，，，2字节的数据类型"\xFF\xFF"，，，，，再发送受害系统信息（上线数据）。。。。

918博天堂(中国游)最新官方网站

可见，，，，，Mbedbot网络的系统信息很周全。。。。其中：

huuid是硬编码的字符串，，，，，指示C2效劳器（host）身份id;

buuid则随机天生，，，，，体现受害主机（bot）身份id；；；

version用于指示版本信息。。。。

发送上线数据之后，，，，，执行select函数，，，，，实验吸收C2下发的种种下令。。。。其中，，，，，Mbedbot每15分钟会向C2发送一次硬编码的“心跳“包，，，，，用以更新主机存活状态。。。。发送心跳包如下：

918博天堂(中国游)最新官方网站

同时C2返回的17字节心跳包数据，，，，，如下：

其中前16字节"\xD9\x01....\x3B\x3F"是随机天生的SessionID，，，，，第16字节是下令码，，，，，\xFF体现是心跳包数据。。。。

918博天堂(中国游)最新官方网站

3、控制下令&后门

Mbedbot实现了许多后门功效，，，，，包括文件类(建设读取上传下载执行)，，，，，执行shell历程，，，，，DDoS攻击，，，，，竣事指定历程，，，，，重置C2效劳器，，，，，退出自身历程等。。。。

918博天堂(中国游)最新官方网站

Mbedbot的下令名堂较量简朴，，，，，前16字节是C2随机天生SessionID，，，，，统一通讯会话是唯一的。。。。第16字节是下令码，，，，，厥后是下令参数。。。。

918博天堂(中国游)最新官方网站

以如下下令为例：

918博天堂(中国游)最新官方网站

FC12…57D2，，，，，16字节SessionID；；；

0x0F，，，，，1字节下令码，，，，，此下令用来设置并重新毗连新的C2效劳器。。。。

fakembedbotc2.com，，，，，下令参数，，，，，将C2效劳重视设为此。。。。

随后，，，，，受害主机实验剖析并毗连fakembedbotc2.com：

以下是各下令码及其对应后门功效：

918博天堂(中国游)最新官方网站

结语

Mbedbot完整复用了Mirai的DDoS代码，，，，，并在其基础上新增两个“自研“的tcp syn攻击以及https ddos攻击能力。。。。并且，，，，，针对自身的后门功效举行了富厚，，，，，以实验增强对bot主机的控制能力。。。。

别的，，，，，相较于其它僵尸网络，，，，，Mbedbot直接使用tls加密和C2的通讯，，，，，只管通讯协议自己并不重大，，，，，但在tls加持下，，，，，能够有用的规避通例特征指纹检测。。。。

IOC

66.42.52.39:443

92.38.135.146:77

dftiscasdwe.w8510.com:443

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

918博天堂

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系918博天堂

关于918博天堂