Mirai僵尸網絡惡意程序分析和監測數據研究

陳亞亮，戴沁蕓，吳海燕，魏征

（1. 上海交通大學信息安全工程學院，上海 200240；2. 國家計算機網絡應急技術處理協調中心上海分中心，上海 201315）

Mirai僵尸網絡惡意程序分析和監測數據研究

陳亞亮1,2，戴沁蕓2，吳海燕2，魏征2

（1. 上海交通大學信息安全工程學院，上海 200240；2. 國家計算機網絡應急技術處理協調中心上海分中心，上海 201315）

近年來，隨著物聯網的興起，以僵尸網絡為代表的惡意程序正在逐漸向物聯網領域滲透，已經出現利用物聯網脆弱的安全防護進行傳播并發動拒絕服務攻擊的惡意代碼。首先介紹了Mirai僵尸網絡的整體架構，對其受控端和控制端等多個組件的主要功能進行了研究；然后對通過主動和被動方式獲取的監測數據展開分析，并在此基礎上，對Mirai僵尸網絡惡意程序的監測發現和應對建議進行了討論。

僵尸網絡；惡意程序；Mirai；Shodan；TR-064

1 引言

僵尸網絡是由大量被僵尸程序感染的受控端設備（Bot）和由攻擊者管理的控制服務器（C&C）組成的攻擊網絡。僵尸網絡惡意程序由來已久，其融合了木馬的植入和控制技術、蠕蟲的大范圍傳播感染技術，從歷史上看，可以將其分為以IRC協議[1]進行通信的初創階段、以HTTP和P2P進行通信的發展階段、以Domain Flux[2]和URL Flux[3]等技術為代表的對抗階段，以及移動互聯網設備和物聯網為主要攻擊目標的融合階段。Mirai僵尸網絡惡意程序是融合階段的重要代表，該惡意程序及其變種直接導致了2016年底美國和德國的大規模網絡癱瘓。

為了掌握Mirai僵尸網絡的攻擊態勢，遏制其在中國境內的蔓延，國家計算機網絡應急技術處理協調中心上海分中心（簡稱“上海互聯網應急中心”）在國家計算機網絡應急技術處理協調中心（簡稱“國家互聯網應急中心”）的指導下深度參與上海地區Mirai僵尸網絡的應急處置工作。本文結合國家互聯網應急中心及上海互聯網應急中心應急支撐體系前期的技術積累及工作，從源代碼及樣本、變種演化情況、多方監測數據等多個維度展開分析，并結合處置方式提出應對建議。

1.1 攻擊情況概述

2016年10月21日上午，美國互聯網域名解析服務商Dyn公司遭遇大規模拒絕服務攻擊，攻擊流量高達1.2 Tbit/s，造成包括Twitter、Facebook、Paypal、GitHub、華爾街日報網站在內的大量網站域名無法被正確解析，從而導致用戶無法登錄系統或訪問站點。這一事件的元兇之一，就是被稱為Mirai的僵尸網絡。

2016年11月28日，德國電信遭遇大范圍網絡故障，約90萬臺路由器無法聯網。德國電信確認問題后，要求設備供應商提供新的固件升級包，建議用戶斷電重啟路由器，并安裝固件升級包，德國電信還采取了一系列的過濾措施保證升級過程不受攻擊影響。該攻擊為Mirai惡意程序變種導致，在相關感染的樣本中發現了與Mirai僵尸網絡惡意程序相同的代碼。

1.2 事件時間線

2016年8月31日，安全博客MalwareMustDie發布了一篇關于Mirai惡意程序的逆向分析報告[4]，Mirai僵尸網絡第一次進入公眾視野。

2016年9月30日，Hackforums的論壇用戶“Anna-senpai”放出了Mirai的源碼[5]，稱受感染的物聯網設備正在被緩慢清理，其手上的僵尸網絡規模已經下降到30萬臺主機。

2016年10月21日，美國域名服務商Dyn遭受大規模DDoS攻擊，造成包括Twitter、Facebook在內的多家美國網站無法被正確解析，進而造成半個美國的網絡癱瘓。

2016年11月7日，安全研究員Kenzo發布了一個針對7547端口上路由器等設備的TR-069/TR-064相關的安全公告[6]。

2016年11月28日，德國電信累積約90萬個路由器遭受Mirai僵尸網絡新變種的攻擊，網絡大面積癱瘓。

2017年2月8日，俄羅斯殺毒軟件制造商Dr. Web發布了Windows版本的Mirai惡意程序的分析報告[7]，該變種可以感染Windows平臺主機微軟主機和嵌入式Linux系統的物聯網設備。

1.3 影響范圍及危害

由于Mirai僵尸網絡惡意程序影響范圍廣、潛在危害大，該惡意程序在未來的1～2年會一直得到廣泛關注。

Mirai僵尸網絡惡意程序的攻擊目標包括所有主流的操作系統，從嵌入式設備的Linux操作系統到桌面服務器的Windows操作系統，覆蓋面廣泛。攻擊向量也從最先的單純弱口令掃描逐漸演化到利用應用漏洞進行攻擊。無論是從攻擊目標看，還是從攻擊范圍看，Mirai僵尸網絡惡意程序的影響范圍都是巨大的。

隨著物聯網的興起，拒絕服務攻擊作為一種傳統的互聯網攻擊手段，正在逐漸向物聯網領域滲透。根據Gartner公司的統計[8]，2016年，全球物聯網設備數量為63.8億臺，預計2020年將達到204億臺。而Mirai僵尸網絡規模僅利用3×104余臺受控端發出的攻擊流量就能達到1 Tbit/s的攻擊流量，如果未來大規模的物聯網設備感染類似惡意程序，形成僵尸網絡，造成的攻擊流量足以令全球互聯網癱瘓。

2 惡意程序分析

本節依據惡意程序制作者通過網絡論壇發布并上傳到Github的源代碼，對Mirai僵尸網絡惡意程序代碼進行靜態分析，同時編譯部分代碼并模擬運行，對動態運行結果進行跟蹤，最終整合動態和靜態分析情況，完成對Mirai僵尸網絡惡意程序的分析。

2.1 原始惡意程序分析

2.1.1 整體架構

Mirai僵尸網絡惡意程序的運行結構可以分為3部分：Bot僵尸網絡受控端、Loader加載服務器、C&C僵尸網絡控制服務器，如圖1所示，其主要功能如下。

Bot僵尸網絡受控端：實現反調試、隱藏自身進程、設置初始的域名端口值、設置默認弱口令、網絡連接及DDoS攻擊功能。

Loader加載服務器：登錄被爆破的脆弱主機，加載并運行引導程序，下載Mirai主程序實現惡意程序的植入。

C&C僵尸網絡控制服務器：對成功感染的Bot進行監控，僵尸網絡使用者通過控制接口向Bot下發攻擊指令，控制僵尸網絡發動DDoS攻擊。

圖1 Mirai僵尸網絡惡意程序整體架構

2.1.2 僵尸網絡受控端分析

僵尸網絡受控端的主要功能是掃描潛在開放Telnet網絡服務的設備，將成功破解的設備地址、用戶名、密碼等信息上報給攻擊者，接受C&C僵尸網絡控制服務器的命令發起攻擊，其代碼劃分為以下幾個模塊。

1) 主函數模塊

主函數模塊主要完成防止設備重啟、防止多實例運行、受控端上線并保持連接等功能。

Mirai僵尸網絡惡意程序的感染目標主要為物聯網的嵌入式設備，因此惡意程序無法將自身寫入設備固件中，只能存在于內存中，一旦設備重啟，惡意程序就會消失。嵌入式設備的重啟功能主要通過“看門狗”程序[9]實現，在設備正常運行時，需要不斷向該程序發送確認消息；而運行異常時，通過向該程序發送控制指令，即可命令設備重啟。Mirai僵尸網絡惡意程序通過向“看門狗”程序發送控制碼0x80045704防止設備異常重啟。

Mirai惡意程序會嘗試綁定并監聽48101端口，如果失敗，便會關閉已經使用此端口的進程并重新嘗試，從而形成一種互斥機制，防止同一個設備上運行多個實例，這也是檢測是否感染Mirai惡意程序的重要方法。

在完成獨占運行、攻擊初始化等步驟后，Bot僵尸網絡受控端會連接C&C僵尸網絡控制服務器，在僵尸網絡中上線；未收到控制服務器的攻擊指令時，Bot默認每隔60 s與控制服務器溝通一次。

2) attack模塊

attack模塊主要用于解析C&C控制服務器下發的攻擊命令并發動拒絕服務攻擊，具體攻擊函數如表1所示。

表1 攻擊函數

3) scanner模塊

scanner模塊主要功能是掃描其他可能受感染的設備，具體流程為：首先生成隨機IP，然后隨機選擇字典中的用戶名密碼組合進行telnet登錄測試，如果掃描的隨機IP有回應，則建立正式連接，并上報成功的掃描結果，表2展示字典中的用戶名密碼組合。

表2 用戶名密碼組合

4) killer模塊

killer模塊主要有2個作用：一是查找特定端口對應的進程并將其關閉，然后占用該端口；二是查找特定進程的對應路徑，并刪除文件。

2.1.3 加載服務器分析

Bot僵尸網絡受控端掃描后的結果會發送到掃描結果接收服務器，經處理后將具體設備信息以特定格式傳遞給Loader加載服務器，對設備實施感染，感染過程主要包括以下幾步。

1) 通過待感染節點的telnet用戶名和密碼成功登錄。

2) 執行“/bin/busybox ps”命令，根據返回結果關閉某些特殊進程。

3) 執行“/bin/busybox cat /proc/mounts”，根據返回結果切換到可寫目錄。

4) 如果發現可用于讀寫的文件目錄，進入該目錄并將“/bin/echo”復制到該目錄，文件更名為dvrHelpler，并開啟所有用戶的讀寫執行權限。

5) 執行“/bin/busybox cat /bin/echo”，通過返回結果解析“/bin/echo”這個ELF文件的頭部判斷體系架構，即其中的e_machine字段。

6) 根據不同的體系架構，選擇一種方式上傳對應的惡意程序文件。

7) 執行惡意程序并清理。

2.1.4 僵尸網絡控制服務器分析

C&C僵尸網絡控制服務器的主要功能是向僵尸網絡管理員提供管理界面，向付費用戶提供登錄界面和發動快速攻擊的應用接口。

圖2展示了管理員和付費用戶登錄僵尸網絡控制臺的業務流程。

管理員登錄成功后可以添加用戶、設置分配給普通用戶的受控端數量、發動攻擊；普通用戶登錄成功后只可以發動攻擊。

付費用戶還可以通過telnet訪問101端口的應用接口發動快速攻擊。

2.2 變種惡意程序分析

2.2.1 技術背景

一般分配TR-069協議（CPE WAN management protocol）給互聯網上的TCP/7547端口，ISP利用該協議對用戶側設備進行遠程管理[10]，完成諸如服務開通、功能設定、系統檢測等運維操作。

然而，7457端口同時還可以運行TR-064協議（LAN-side CPE configuration），該協議允許用戶通過LAN側的管理軟件對ISP提供的路由器進行配置。

TR-069協議和TR-064協議分別運行在路由器的WAN口和LAN口。當路由器的WAN口允許接收并響應TR-064協議請求時，會導致嚴重的安全漏洞，攻擊者可以通過互聯網遠程配置該路由器，配置命令包括獲取設備信息、獲取Wi-Fi密碼、獲取SSID和MAC地址、設置NTP服務器。

圖2 登錄僵尸網絡控制臺流程

而TR-064協議在設置NTP時間服務器時存在命令注入漏洞，攻擊者通過發送符合TR-064協議格式要求的數據分組，可以執行任意命令，如“busybox iptables -I INPUT -p tcp --dport 80 -j ACCEPT”。

2.2.2 變種特點

在德國電信斷網事件的捕獲樣本中發現了與Mirai相同的代碼，但該變種也有自己的特征。

1) 利用7547端口進行傳播

對隨機生成的IP地址進行掃描，并向目標主機發送包含攻擊代碼的數據分組，攻擊代碼的主要功能是下載針對不同平臺的惡意代碼。

2) 綁定并監聽31517端口

通過查詢端口31517相關的進程，將其終止。之后，綁定31517端口，進行監聽。

3) 精簡弱口令列表

對弱口令列表進行精簡，通過3組弱口令進行telnet弱口令掃描。

2.2.3 后續演進情況

1) 使用域名生成算法

2016年12月9日，奇虎360公司Netlab網絡安全研究實驗室發現部分利用TR-064協議漏洞傳播的Mirai惡意程序變種樣本中包含域名生成算法[11]，用于生成CNC僵尸網絡控制服務器備用域名，其主要特征如下。

① 使用3個頂級域名：online/tech/support。

② L2域名固定長度12字符，每個字符在“a”～“z”隨機選擇。

③ 域名僅由月、日和硬編碼的種子字符串確定。

④ 每天只生成一個域名，因此最多存在365個DGA域名。

⑤ DGA域名僅在硬編碼的C2域名無法解析時使用。

2) 感染Windows平臺

2017年2月6日，俄羅斯殺毒軟件制造商Dr. Web捕獲了Windows版本的Mirai惡意程序，可以感染Windows平臺微軟主機和嵌入式Linux系統的物聯網設備，主要掃描如下端口：22、23、135、445、1433、3306、3389。

除3389以外的所有端口，均會執行配置文件中的相關命令，如添加數據庫用戶、獲取惡意程序、寫入文件等。

3 數據獲取及分析

本節闡述上海互聯網應急中心通過主動和被動這2種方式獲取Mirai僵尸網絡監測數據，并對受控端和控制端分別展開數據分析。

3.1 數據獲取

Mirai僵尸網絡監測發現的方式分為主動監測與被動監測。

主動監測數據可以利用Mirai掃描模塊中的特征值，通過檢查SYN包的包頭，從TCP/23端口的掃描流量中識別出Mirai惡意程序發出的掃描流量。這類監測數據的主要來源為上海互聯網應急中心應急服務支撐單位的上報數據。

被動監測數據則是利用國家互聯網應急中心某技術平臺，將Mirai僵尸網絡通信流量中指紋特征配入系統，開展相應監測。具體指紋特征包括端口特征和報文特征，端口特征指Mirai惡意程序會監聽48101端口，報文特征如表3和表4所示。

表3 Bot上線報文特征

表4 心跳鏈接報文特征

3.2 主動監測數據分析

3.2.1 受控端監測情況

1) IP地址統計

奇虎360公司Netlab網絡安全研究實驗室開放數據項目（Netlab open data project）建立了Mirai僵尸網絡監測頁面，實時呈現Mirai僵尸網絡的發展演變情況。

截至2017年3月31日，根據該監測頁面提供的信息，通過統計Mirai僵尸網絡惡意程序及其變種的掃描行為，累計發現Bot受控端IP地址2 291 661個，其中，中國排名第一，Bot受控端IP地址共計456 026個。

從Bot受控端的活躍情況來看，2017年3月31日當日的活躍掃描IP為9 329個，且自2017年1月25日起，當日活躍掃描IP均在2×104個以下。

2) 感染設備情況

知道創宇ZoomEye平臺[12]對公開的Mirai僵尸網絡掃描數據列表中62 961個獨立IP地址的Banner信息進行了統計，選取Dyn公司遭到攻擊前后2016年7月18日和10月25日這2個時間點，分析得出感染Mirai僵尸網絡的設備端口、設備類型、運行服務等情況。

Mirai僵尸網絡主要掃描攻擊端口為23，檢索該端口在Dyn公司遭到攻擊前后的變化情況，發現在62 961個獨立IP地址中，8 454個IP地址的23端口被關閉，1 010個地址的端口被打開，整體趨勢與Mirai惡意程序關閉23端口的行為特征相符。

1 898個IP可以識別出準確的設備類型，主要感染設備為路由器、媒體設備和攝像頭，排名前10的設備類型如表5所示。

表5 排名前10的設備類型

識別出270種服務類型，主要服務類型為uc-httpd、Busybox telnetd和Portable SDK for UPnP devices，排名前10的服務類型如表6所示。

表6 排名前10的服務類型

3) 潛在影響范圍

重點考察23端口的Banner信息在2016年7月和2016年10月這2個時間點的變化情況，可以發現2016年7月18日最多的Banner信息為“LocalHost login”和“(none) login”，其數量變化情況如表7所示。

表7 Banner信息變化情況

由表7可以看到Banner數量大幅下降，可以推斷23端口的Banner信息為這2條的設備，極有可能會感染Marai惡意程序，如果以這2條Banner信息作為查詢條件，在4個常見的網絡空間搜索引擎中進行搜索（截至2017年4月9日），可以得到如表8所示地址數量。

表8 Banner信息搜索結果

因不同搜索引擎的掃描和數據處理機制存在差異，如ZoomEye會對多次掃描得到的數據進行累計，而Shodan[13]則會直接更新數據，Censys[14]每周會對23端口進行掃描，FOFA[15]建立時間最短，導致上述統計的IP地址數量差異較大，實際影響范圍還需要在全量數據基礎上做進一步核實驗證。

3.2.2 控制服務器監測情況

根據奇虎360公司Netlab網絡安全研究實驗室開放數據項目的Mirai C2監測頁面提供的信息，截至2017年4月9日，累計發現C&C控制服務器IP地址204個，其中，美國排名第一，C&C控制服務器IP地址共計43個；累計下發攻擊命令1 577 363條，攻擊目標11 748個，攻擊方式排名前3的分別為udp_flood、tcp_stomp和http_flood。

從活躍情況來看，2017年3月31日的活躍CNC控制服務器IP地址16個，下發攻擊命令1 720條，且近3個月內的大部分時間控制服務器IP地址少于20個，攻擊命令少于2 000條。

3.3 被動監測數據分析

國家互聯網應急中心利用某技術平臺對Mirai僵尸網絡數據進行排查，發現受控端IP地址數據中涉及全國范圍內的IP地址5 681個，其中上海地區IP地址210個。

上海互聯網應急中心按照國家互聯網應急中心要求，協調上海地區基礎運營企業對IP地址的線路類型、是否為物聯網設備等情況進行核查，發現80%以上IP地址的線路類型均為撥號用戶。

同時，利用技術手段對地址telnet端口的Banner信息進行查詢，得到Banner信息70條，具體Banner信息情況如表9所示，其中“XL_ MINER_dddd login:”中的dddd為4位數字，“dvrdvs login:”可以確認為海康威視的監控設備。

表9 Banner信息情況

3.4 數據驗證和挖掘

3.4.1 主被動數據重合性驗證

上海互聯網應急中心對奇虎360公司Netlab網絡安全研究實驗室公開的Mirai僵尸網絡掃描數據進行定位，確認上海地區IP地址71個，其中上海電信地址58個、上海聯通地址12個、上海移動地址1個。

與之前國家互聯網應急中心的數據進行比對，發現上海地區數據完全沒有重合，而全國數據也僅有11個IP地址重合。主被動數據重合度較低，表明2種監測方式在原理機制、監測節點等方面存在較大差異。

3.4.2 利用技術平臺監測發現感染情況

上海互聯網應急中心以Mirai僵尸網絡利用TR-064漏洞傳播的變種作為檢測對象，該變種有掃描7547端口并開放31517端口的網絡特征，本文選取國家互聯網應急中心某技術平臺上海地區某日的流量數據進行檢索，具體排查步驟如下。

1) 查詢目的端口為7547的流量數據，得到全天流量五元組數據65 527條，數據時間均在22:44:52～23:59:59，時間分布較為聚集。

2) 篩選出源端口為31517的數據2條，如表10所示。

表10 篩選出的2條流量數據

3) 分別提取源地址為39.*.*.18和58.*.*.74的流量記錄，發現58.*.*.74有明顯的掃描特征，涉及554個獨立目的IP地址，后續如能結合報文數據，可以進一步確認該地址是否為感染Mirai惡意程序的變種。

4 應對建議

本文建議從技術和管理方面雙管齊下，通過監測系統建設、威脅情報共享等多種方式積極應對Mirai僵尸網絡。

在技術層面上，國家級應急支撐機構需要對系統監測和互聯網公開數據進行關聯分析，充分挖掘現有數據價值。同時，還建議積極申請資金，建立和完善惡意代碼蜜罐捕獲和分析系統。國家互聯網應急中心作為協調機構，難以直接獲取受害用戶設備上的攻擊樣本，蜜罐系統[16]可以成為獲取惡意代碼樣本的重要渠道，為僵尸網絡動態的實時監測提供重要手段。安全企業則應積極建立互聯網網絡空間搜索引擎，作為信息獲取、漏洞排查的重要工具。

在管理層面上，建議國家級應急支撐機構牽頭，參照國際現有標準，統一威脅情報格式，如：在STIX規范框架下，借助 CybOX提供的詞匯描述威脅情報，并利用TAXII 進行傳輸[17]，實現重要威脅情報自動化讀取和匯總，推進網絡安全威脅情報共享體系建設。各安全企業則結合自身實際業務能力，重點跟蹤特定方向的威脅情報，形成企業特色，在此基礎上實現情報共享。

5 結束語

僵尸網絡一直是基礎互聯網網絡安全運行的重大威脅，利用物聯網設備開展攻擊的Mirai僵尸網絡已經造成多次嚴重的國家級互聯網癱瘓事件。本文首先對Mirai僵尸網絡惡意程序的運作機制進行了分析，然后通過數據分析呈現了其運行規模和具體特征，最后給出了針對Mirai僵尸網絡惡意程序的應對建議。

[1] MCCARTY B. Botnets: big and bigger[J]. IEEE Security & Privacy, 2003, 1(4):87-90

[2] STONE-GROSS B, COVA M, CAVALLARO L, et al. Your botnet is my botnet: analysis of a botnet takeover[C]//The 16th ACM Conference on Computer and Communication Security. 2009: 635-647.

[3] CUI X, FANG B X, YIN L H, el al. Andbot: towards advanced mobile botnets[C]//The 4th Usenix Workshop on Large-scale Exploits and Emergent Threats. 2011: 11.

[4] Linux/Mirai. How an old ELF malcode is recycled[EB/OL]. http:// blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just .html.

[5] World’s largest net: mirai botnet, client, echo loader, CNC source code released[EB/OL]. https://hackforums.net/showthread.php?tid= 5420472.

[6] Eir’s D1000 modem is wide open to being hacked[EB/OL]. https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-mod em-is-wide-open-to-being-hacked/.

[7] Trojan.Mirai.1 [EB/OL].https://vms.drweb.com/virus/?i= 14934685 & lng= en.

[8] Gartner says 8.4 billion connected "things" will be in use in 2017, up 31 percent from 2016[EB/OL]. http://www.gartner.com/newsroom/ id/3598917.

[9] 汪勝聰, 滕勤, 左承基. 綜述單片機控制系統的抗干擾設計[J].現代電子技術, 2003, 1: 7-9.

WANG S C, TENG Q, ZUO C J. Statement of an-ti-disturbance design in the micro-controller system[J]. Modern Electronic Technique, 2003, 1:7-9.

[10] 吳春敏. 基于TR-069協議的遠程配置管理終端的研究與實現[D]. 成都：西南交通大學, 2006.

WU C M. Research and implementation of remote configuration management terminal base in TR-069 protocol[D]. Chengdu: Southwest Jiaotong University, 2006.

[11] 張雪松, 徐小琳, 李青山. 算法生成惡意域名的實時檢測[J]. 現代電信科技, 2013, 7: 3-8.

ZHANG X S, XU X L, LI Q S. The real-time detection of algo-rithmically generated malicious domain[J]. Modern Science & Technology of Telecommunications. 2013, 7: 3-8.

[12] 鐘馗之眼. 網絡空間搜索引擎[EB/OL]. https://www.zoomeye. org/.

ZoomEye. Cyberspace Search Engine[EB/OL]. https://www.zoomeye. org/.

[13] Shodan[EB/OL]. https://www.shodan.io/.

[14] Censys[EB/OL]. https://www.censys.io/.

[15] FOFA Pro .網絡空間安全搜索引擎[EB/OL]. https://fofa.so/. FOFA Pro. The cyberspace search engine[EB/OL]. https://fofa.so/.

[16] FREILING F, HOLZ T, WICHERSKI G. Botnet tracking: Exploring a root-cause methodology to prevent distributed denial-of- service at-tacks[C]//The 10th European Symposium on Research in Computer Security (ESORICS 2005). 2005: 319-335.

[17] LI J H. Overview of the technologies of threat intelligence sensing, sharing and analysis in cyber space[J]. Chinese Journal of Network and Information Security, 2016, 2(2):16-29.

Research on the reverse analyses and monitoring data of Mirai malware botnet

CHEN Ya-liang1,2, DAI Qin-yun2, WU Hai-yan2, WEI Zheng2

(1. School of Information Security Engineering, Shanghai Jiaotong University, Shanghai 200240, China; 2. Shanghai Branch, Coordination Center of China, National Computer Network Emergency Response Technical Team, Shanghai 201315, China)

In recent years, with the rapid development of Internet of things(IoT), malwares have come into Internet of things, and botnet is the typical one. Malwares spreading through IoT vulnerable devices have emerged. The overall structure of Mirai botnet and the function of its components were introduced, such as bots and C&C server. The monitoring data obtained through active and passive way were analyzed. Based on that, the discovery methods and response modes on such kind of botnet malwares were discussed.

botnet, malware, Mirai, Shodan, TR-064

TP309.5

A

10.11959/j.issn.2096-109x.2017.00181

陳亞亮（1988-），男，上海人，國家計算機網絡應急技術處理協調中心工程師，主要研究方向為網絡安全、移動互聯網惡意程序。

戴沁蕓（1977-），女，湖北武漢人，博士，國家計算機網絡應急技術處理協調中心高級工程師，主要研究方向為網絡安全、移動互聯網。

吳海燕（1989-），女，江蘇啟東人，國家計算機網絡應急技術處理協調中心工程師，主要研究方向為網絡安全。

魏征（1986-），男，江蘇蘇州人，國家計算機網絡應急技術處理協調中工程師，主要研究方向為惡意程序分析。

2017-06-13；

2017-06-29。通信作者：陳亞亮，dcreg2013@163.com