亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

目前為止，我們與安全社區(qū)合作共享了兩位數(shù)域名上的超過50個(gè)mirai僵尸網(wǎng)絡(luò)主控。但本文后面的分析僅針對(duì)360網(wǎng)絡(luò)安全研究院獨(dú)立發(fā)現(xiàn)的主控，即13個(gè)域名上的16個(gè)主控主機(jī)名，其中8個(gè)在持續(xù)對(duì)外發(fā)起攻擊。

在時(shí)間線上，我們可以看到各主控隨時(shí)間變化的注冊、在DNS中首次出現(xiàn)、持續(xù)保持IP地址變化、首次被監(jiān)控到發(fā)起攻擊等事件。地理分布方面，主控的IP地理分布主要在歐洲和美國，尤以歐洲為甚，亞洲很少，這從側(cè)面增強(qiáng)了之前“mirai控制者不在北京時(shí)區(qū)”的判斷。

域名注冊信息方面，絕大多數(shù)主控在域名注冊時(shí)在TLD、注冊局、注冊郵箱方面設(shè)置了多重障礙阻滯安全社區(qū)的進(jìn)一步分析。

主控中一個(gè)特例是santasbigcandycane.cx，這個(gè)域名隨著mirai源碼泄漏而暴露在大眾視野中。KrebsOnSecurity 對(duì)這個(gè)域名做了深入而有趣的探索。感興趣的讀者可在讀完本篇文檔后閱讀： https://krebsonsecurity.com/2016/10/spreading-the-ddos-disease-and-selling-the-cure/#more-36538

所分析的mirai控制端列表

到目前為止，我們獨(dú)立發(fā)現(xiàn)了16個(gè)僵尸網(wǎng)絡(luò)主機(jī)名，分布在13個(gè)域名上，如下表所示。出于安全考慮，我們掩去了關(guān)鍵信息。

除了少數(shù)兩個(gè)特例以外，絕大多數(shù)主機(jī)名所屬域名下的所有其他主機(jī)名也都完全為 mirai 服務(wù)，可據(jù)此判定絕大多數(shù)域名是專門為了mirai而申請(qǐng)注冊的。

特例之一是santasbigcandycane.cx，前文已述；特例之二是 contabo.host ，這個(gè)域名屬于 Contabo.com，是一家提供低成本虛擬主機(jī)和Web空間的網(wǎng)絡(luò)提供商。合理推測這是一臺(tái)被攻破的虛擬主機(jī)，攻破后被用作mirai的控制端。

注：域名指在注冊局注冊的域名，主機(jī)名指域名所有者獲得域名控制權(quán)后分配的子域名。

mirai主控的時(shí)間變化情況

回溯Mirai控制端的活動(dòng)歷史，可以繪制mirai控制端的活動(dòng)時(shí)間線如下圖。考慮到大家主要關(guān)注mirai近期活動(dòng)，我們縮放了下圖時(shí)間軸，主要顯示9月1日至今（10月27日）。

圖中，四個(gè)圖標(biāo)分別表示域名注冊、主機(jī)名在DNS系統(tǒng)中活躍的時(shí)間、主機(jī)名在DNS系統(tǒng)中發(fā)生IP地址變化、跟蹤到該主機(jī)名發(fā)起攻擊。其中最后一個(gè)主控，我們無法追蹤到最初顯示的注冊時(shí)間，目前查到的注冊時(shí)間在其DNS首次出現(xiàn)時(shí)間之后。

從上圖中可以看出域名一旦啟用（觀察到參與攻擊）會(huì)快速更換IP地址，一般可以判定這是攻擊者在逃避安全社區(qū)的分析。以某個(gè)被認(rèn)為發(fā)起了針對(duì)本次 dyn / twitter 攻擊的mirai主控為例，下表是該主控的IP變化歷史：

圖中還可以看到我們累積監(jiān)控到8個(gè)主控對(duì)外發(fā)起攻擊。時(shí)間可以回溯到2016年10月18日，并一直持續(xù)到當(dāng)前。另外由于mirai僵尸網(wǎng)絡(luò)規(guī)模特別大，單個(gè)主控要應(yīng)對(duì)的bot較多（合理推測數(shù)目在萬級(jí)），我們有理由相信mirai主控與bot之間的通訊模型與既往其他僵尸網(wǎng)絡(luò)都有所不同。

mirai主控的IP地理分布

之前社區(qū)里關(guān)于這些域名的IP地址變化有一種說法，認(rèn)為 “某個(gè)mirai主控變換IP地址后，原先的IP地址上會(huì)出現(xiàn)一個(gè)新的域名，仍然是mirai主控”，即不同主控之間共享IP地址。在我們的數(shù)據(jù)中，上述情況完全沒有出現(xiàn)。 前文已經(jīng)提到這些域名在快速的變換IP，我們持續(xù)跟蹤的16個(gè)主控目前為止一共使用了98個(gè)IP地址，其中活躍的8個(gè)主控一共使用了57個(gè)IP地址。這些IP地址的國家和地區(qū)分布如下：

可以看出絕大部分IP分布在歐洲和北美（巴爾及利亞，加拿大，丹麥，法國，德國，匈牙利，意大利，荷蘭，羅馬尼亞，俄羅斯，蘇伊士，英國，美國），其中又以歐洲為甚，分布在亞洲區(qū)的只有3個(gè)。這從側(cè)面增強(qiáng)了之前“mirai控制者不在北京時(shí)區(qū)”的判斷。

mirai主控的域名注冊信息

Mirai的控制者在域名注冊方面非常小心，以避免被跟蹤。一方面選擇很少見的新Top Level Domain（TLD），另一方面所使用的注冊郵箱、注冊局也都強(qiáng)調(diào)隱私保護(hù)或者很難繼續(xù)追蹤。

TLD的分布上，較少用常見的 .net .org 。 .xyz .work這樣的TLD就已經(jīng)少見，而 .racing 這樣就 是更加罕見了。全部域名在常見 TLD (.net .org)上只有23%（=3/13），即使加上上.ru也不超過50%，如下圖所示：

注冊郵箱和注冊局方面情況如下。同樣出于安全考慮，我們掩去了關(guān)鍵信息。

這些注冊郵箱都比較難以繼續(xù)追溯下去：Protonmail 是專門強(qiáng)調(diào)數(shù)據(jù)安全的郵件服務(wù)商，reg.ru, r01.ru,whoisguard.com 是專門做域名隱私保護(hù)的公司，contabo是VPS提供商，freenom運(yùn)營了大量免費(fèi)域名。

特別要提及，info@namecentral.com 這個(gè)注冊局很特殊，在上文提到的krebsonSecurity 連接中，Krebs提到這個(gè)注冊局上注冊的30+域名中大多含有 boot/stress/dos 這樣的字眼，通常這暗示域名從事ddos出租服務(wù)；Krebs提到的另一個(gè)疑點(diǎn)是這個(gè)注冊局注冊的域名太少，無法做到收支平衡。Krebs與注冊局的所有者取得聯(lián)系，對(duì)方對(duì)Krebs的疑問有所回答，這更進(jìn)一步加強(qiáng)了Krebs的疑慮。如果您已經(jīng)讀到這里，我們強(qiáng)烈建議您去閱讀原文（https://krebsonsecurity.com/2016/10/spreading-the-ddos-disease-and-selling-the-cure/#more-36538）

來源：安全客（http://bobao.360.cn/learning/detail/3143.html）