近期监测发现一批僵尸网络样本，在Mirai泄露源码的基础上融合XXTEA算法进行加密，针对ARM、MIPS、x86等多种架构的IoT/Linux设备。

　　交叉引用共3处。第一处为解密样本运行后向控制台输出的字符串，XXTEA解密后为“Hello, world!”：

　　由于C2为OpenNIC域名，无法经由公共DNS服务器进行解析，样本中硬编码了用于C2解析的OpenNIC DNS服务器：

　　C2的端口则在25596~25616之间随机选择。通信机制方面，Mirai.CatDDoS基本沿用了Mirai的原始设计，只是将Mirai上线字节：

　　根据相关特征，又关联到了一批相似的同类样本，在代码功能、结构设计上更为简洁、更加类似原始Mirai，推测可能为更早期的bot版本。从C2的命名方式上来看clash小猫咪节点，符合了CatDDoS团伙的一贯作风——即对“猫”的情有独钟。新旧版本之间的一些异同点对比如下：

　　Mirai.OctopusMirai.Octopus是另一批使用了XXTEA加密算法的Mirai变种僵尸网络，Octopus源自于攻击者留下的特殊UA特征。Mirai.Octopus沿用了Mirai源码中的诸多设计，例如绑定本地端口实现单一实例运行、进程名随机化、阻止watchdog重启设备、report服务器接收爆破结果等等。同时二次开发了不少新的恶意功能，包括：Nday 漏洞传播

　　近期，在日常威胁巡检中发现了一种混淆的门罗币挖矿木马，分析发现其为AppMiner新变种，这是该家族继2024年1月的又一次更新。挖矿并不新鲜，但将宿主机弄崩溃的实属少见。攻击者愈发贪婪，以前仅是隐秘挖矿，新变种直接删除主机密码存储和身份认证相关系统文件实现防卸载，致使重启主机无法进入系统界面，堪称鱼死网破之举！截至发稿时其已感染近400台主机，挖矿收益约5 XMR（价值约6000元）；新变种还进一步强化对抗，对C2等敏感信息加密处理以隐藏痕迹。

　　4）若非业务需要，不要在公网开放业务端口（如：redis、GitLab接口），采用本地或内网访问，设置访问白名单等方式进行加固；

　　如下是AppMiner新变种的执行流程图：1）攻击者通过漏洞利用、SSH暴破等方式成功入侵受害者主机后，植入并启动AppMiner新变种主模块（5个随机字符）；

　　2）主模块请求攻击者制作的Google sites挂马页面，通过正则匹配得到真实的木马下载链接，再经二次正则匹配及base64解码后完成主程序AppMiner1（主模块近似克隆版）、子程序AppMiner2、xmrig矿工的下发及挖矿牟利；

　　3）主模块删除中招主机/etc目录下的密码存储、身份认证相关文件，阻止中招用户切换到root权限实现防卸载；直接重启主机会导致无法进入系统界面；

　　4）主程序AppMiner1运行后会重复上述主模块的步骤；5）子程序AppMiner2作为主程序的守护程序，会再次请求Google sites挂马页面以确保主程序存活且为最新版。

　　新变种采用了与之前版本相同的恶意模块下发逻辑，但相关C2做了加密处理。1）新变种访问C2链接：后返回一个html，通过正则匹配取出其中的url（红框部分）。2) 访问上述提取出的url，得到下一阶段html

　　主机感染AppMiner新变种后，用户名处会显示“ I have no name !”，并且无法切换到root用户，重启主机后无法进入系统界面。

　　分析发现，新变种删除了中招主机中/etc目录下passwd、shadow等与系统密码存储、身份认证相关文件以实现防卸载，致使系统无法查找到此类文件，从而无法认证成功、无法正常重启进入系统界面。/etc目录下被AppMiner新变种删除的的系统文件如下（红框部分）：除了删除passwd、shadow等系统文件，AppMiner还会在/etc目录保存其下载的木马模块（木马模块使用随机文件名，主程序为5个字符，子程序为6个字符）。因此，主机感染AppMiner新变种后千万不要关机或重启，应先完成该家族查杀并恢复/etc/passwd等配置文件，否则无法进入系统界面！持久化