2023年12月25日，俄罗斯网络安全公司SEC-1275-1（https://1275.ru/）发表了一份关于Mirai僵尸网络的安全事件报告。我们将报告中公开的IOC信息加载至CNTD网络安全威胁情报共享平台中，发现这些IOC信息存在恶意行为。经CNTD研判，其攻击始于2020年11月中旬，最近一次攻击发生在今年12月中下旬。具体情况如下：

一、公开的IOC信息

网络安全公司SEC-1275-1公开的IOC信息如下：

图1-1 公开的IOC信息

二、攻击的具体情况

经CNTD平台检测发现，部分IP存在恶意行为。具体情况如下：

45.13.227.9（欧盟）

CNTD平台检测出IP“45.13.227.9”存在Mirai僵尸网络、恶意软件等行为，并发现31条相关恶意链接。具体情况如下图所示：

图2-1 CNTD情报记录IP“45.13.227.9”存在恶意行为

图2-2 CNTD平台标记IP“45.13.227.9”存在相关恶意链接

45.86.155.249（欧盟）

CNTD平台检测出IP“45.86.155.249”存在Mirai僵尸网络等行为，并发现12条相关恶意链接。具体情况如下图所示：

图2-3 CNTD情报记录IP“45.86.155.249”存在恶意行为

图2-4 CNTD平台标记IP“45.86.155.249”存在相关恶意链接

45.95.146.126（欧盟）

CNTD平台检测出IP“45.95.146.126”存在Mirai僵尸网络、恶意软件等行为，并发现6条相关恶意链接。具体情况如下图所示：

图2-5 CNTD情报记录IP“45.95.146.126”存在恶意行为

图2-6 CNTD平台标记IP“45.95.146.126”存在相关恶意链接

45.95.146.105（欧盟）

CNTD平台检测出IP“45.95.146.105”存在Mirai僵尸网络行为。具体情况如下图所示：

图2-7 CNTD情报记录IP“45.95.146.105”存在Mirai僵尸网络行为

45.95.147.171（欧盟）

CNTD平台检测出IP“45.95.147.171”存在Mirai僵尸网络、恶意软件等行为，并发现7条相关恶意链接。具体情况如下图所示：

图2-8 CNTD情报记录IP“45.95.147.171”存在恶意行为

图2-9 CNTD平台标记IP“45.95.147.171”存在相关恶意链接

198.98.61.218（美国）

CNTD平台检测出IP“198.98.61.218”存在恶意软件等行为，并发现11条相关恶意链接。具体情况如下图所示：

图2-10 CNTD情报记录IP“198.98.61.218”存在恶意行为

图2-11 CNTD平台标记IP“198.98.61.218”存在相关恶意链接

216.219.94.57（美国）

CNTD平台检测出IP“216.219.94.57”存在恶意软件、暴力破解等行为，并发现5条相关恶意链接。具体情况如下图所示：

图2-12 CNTD情报记录IP“216.219.94.57”存在恶意行为

图2-13 CNTD平台标记IP“216.219.94.57”存在相关恶意链接

205.185.118.81（美国）

CNTD平台检测出IP“205.185.118.81”存在暴力破解等行为。具体情况如下图所示：

图2-14 CNTD情报记录IP“205.185.118.81”存在恶意行为

184.105.191.94（美国）

CNTD平台检测出IP“184.105.191.94”存在恶意软件等行为，并发现13条相关恶意链接。具体情况如下图所示：

图2-15 CNTD情报记录IP“184.105.191.94”存在恶意行为

图2-16 CNTD平台标记IP“184.105.191.94”存在相关恶意链接

37.44.238.75（法国）

CNTD平台检测出IP“37.44.238.75”存在恶意软件等行为，并发现12条相关恶意链接。具体情况如下图所示：

图2-17 CNTD情报记录IP“37.44.238.75”存在恶意行为

图2-18 CNTD平台标记IP“37.44.238.75”存在相关恶意链接

193.222.96.26（瑞士）

CNTD平台检测出IP“193.222.96.26”存在Mirai僵尸网络、恶意软件等行为，并发现17条相关恶意链接。具体情况如下图所示：

图2-19 CNTD情报记录IP“193.222.96.26”存在恶意行为

图2-20 CNTD平台标记IP“193.222.96.26”存在相关恶意链接

176.97.210.229（俄罗斯）

CNTD平台检测出IP“176.97.210.229”存在恶意软件、暴力破解等行为，并发现6条相关恶意链接。具体情况如下图所示：

图2-21 CNTD情报记录IP“176.97.210.229”存在恶意行为

图2-22 CNTD平台标记IP“176.97.210.229”存在相关恶意链接

84.54.51.37（黎巴嫩）

CNTD平台检测出IP“84.54.51.37”存在SSH暴力破解等行为，并发现7条相关恶意链接。具体情况如下图所示：

图2-23 CNTD情报记录IP“84.54.51.37”存在恶意行为

93.123.85.109（保加利亚）

CNTD平台检测出IP“93.123.85.109”存在恶意软件等行为，并发现8条相关恶意链接。具体情况如下图所示：

图2-24 CNTD情报记录IP“93.123.85.109”存在恶意行为

图2-25 CNTD平台标记IP“93.123.85.109”存在相关恶意链接

93.123.85.116（保加利亚）

CNTD平台检测出IP“93.123.85.116”存在恶意软件等行为，并发现6条相关恶意链接。具体情况如下图所示：

图2-26 CNTD情报记录IP“93.123.85.116”存在恶意行为

图2-27 CNTD平台标记IP“93.123.85.116”存在相关恶意链接

94.103.124.222（保加利亚）

CNTD平台检测出IP“94.103.124.222”存在暴力破解等行为，并发现1条相关恶意链接。具体情况如下图所示：

图2-28 CNTD情报记录IP“94.103.124.222”存在恶意行为

图2-29 CNTD平台标记IP“94.103.124.222”存在相关恶意链接

三、建议

1、更改默认凭证。修改设备的默认用户名和密码，设定强密码和复杂密码，确保不容易被猜测或破解。

2、更新设备固件。及时更新物联网设备的固件，以修复已知漏洞并增强设备的安全性。定期检查并下载来自设备制造商的安全补丁。

3、防火墙和网络监控。配置防火墙以限制物联网设备对公共互联网的访问，并实施网络监控来识别异常流量和未经授权的访问。

4、使用安全的网络协议。使用安全的物联网通信协议，如HTTPS和TLS等，以加密数据传输并提高安全性。

5、分离网络。将物联网设备与其他设备隔离，建立物理或逻辑隔离措施，以防止恶意软件从一个设备蔓延到其他设备。

6、关闭不必要的服务。关闭物联网设备上的不必要的服务和端口，减少攻击面。

7、定期备份。定期备份物联网设备中的数据和设置，以防止设备被重新格式化或受到其他损坏。

（此报告已溯源到具体目标，如需提供溯源分析部分，请与后台联系：010-89029569。）