狼烟再起 | 物联网僵尸家族入侵模式再更新,阻击需提前
2021-01-27
全文共1975字,阅读大约需要3分钟。
Linux/IoT平台作为弱口令和各类漏洞的重灾区,安全事件频发,持续扮演着僵尸网络家族孵化器的角色。尽管Linux/IoT平台仍旧被Mirai和Gafgyt这类的家族所主导,但近两年来一批新家族产生,进一步加剧了Linux/IoT僵尸网络的内斗态势。
日前,js1996官网登录发布了《2020 BOTNET趋势报告》。其中,报告中介绍了2019至2020年年末出现的4个新兴Linux/IoT家族,包括Pink、Mozi、Bigviktor及Gobrut。这些家族在影响范围、通信模式、发展方向和目标需求上,相较传统知名的Mirai和Gafgyt等家族而言更为新颖。
报告通过阐述它们的特点及现状,揭示了僵尸网络家族的未来发展趋势:
1、利用小众设备的漏洞部署恶意软件,在局部战场获取收益。
2、使用去中心化的P2P协议进行通信,并构建专属DHT网络,增强C&C隐匿性和跟踪的难度。
3、使用DGA隐藏真实C&C,延长存活周期,为木马后续更新争取时间。同时采用加密+验证的方式保护流量,以瘫痪网络层的特征检测。
4、发展模式逐渐由完善功能再投递,转变为先投递再完善功能。
5、C&C分布式地向肉鸡下发任务,高效地进行暴破活动。
6、C&C后台挖掘和收集海量域名作为日后攻击资产,可自用或出售。
01小众设备的“战场”
Linux/IoT设备各式各样,种类繁多,因此有攻击者打起了小众设备的主意。而家庭网关作为用户接入互联网的重要通道和流量入口,便成为了攻击者利用的一环。特别是在流量为王的今天,刷广告已经成为黑产界散播木马的重要动力之一。
2020年疫情期间,有攻击者利用某品牌家用网关的0day漏洞实施了入侵行为,并部署了恶意软件Pink,可进行广告劫持、网络代理、后门替换和DDoS攻击等功能。
此次事件中,攻击者非常了解家用网关。这反映出在IoT平台漏洞层出的今天,黑产组织为了打开局部市场以攫取更多利益,不惜展开针对一些小众设备的研究,主动挖掘或购买漏洞进行利用,同时也侧面反映了当今IoT设备面临的一系列安全窘境。小众设备的“战场”,对安全应急及后续调查研究提出了一定挑战,并对相关安全从业人员的知识宽度也提出了新的要求。
02Hello, P2P
C&C通信的隐匿性是决定僵尸网络存活周期的重要因素之一。当今,绝大部分僵尸网络家族均采用Client-Server的TCP通信模式,因此相对容易被追踪和研究,而与此相对的则是少数家族采用的去中心化通信模式。
2019年年底出现的以DDoS为主要目标的Mozi恶意家族,代表了物联网僵尸网络在P2P方向的延伸。Mozi不仅使用P2P通信中已有的DHT协议作为整体网络结构,还在DHT网络内部构建了该家族专属的DHT僵尸网络。这使得一个Mozi节点从加入DHT网络到执行DDoS攻击不能一蹴而就,而是会涉及到多种通信协议,包括DHT、Mozi-DHT、HTTP和UDP协议。
两层DHT通信使得Mozi的网络结构较为复杂,且节点分布离散度较高,有别于传统的僵尸网络。伏影实验室分析发现,Mozi利用常见的传播方式,现已入侵东亚、欧洲和北美等多个地区。据js1996官网登录伏影实验室观测,其规模仍在不断扩大中,或于未来演变为重大威胁的可能性已显露。
由于P2P的网络结构较为灵活,在一定程度上隐藏了真实C&C,使得Mozi家族比传统僵尸网络更难治理。
03流量武装与发展模式之变
各僵尸网络家族的木马在占领肉鸡后,伴随而来的是其持久性问题。同时C&C通信的保密性,亦是决定僵尸网络存活周期长短的重要因素之一。攻击者以隐藏真实C&C提高存活率,并通过加密流量来隐藏通信内容,从而对抗特征检测。
2020年6月,js1996官网登录伏影实验室威胁捕获团队,根据CNCERT物联网威胁情报平台及金沙js1996威胁识别系统监测数据,通过漏洞检测发现了一款全新的DDoS僵尸网络家族Bigviktor。与传统的Mirai、Gafgyt、Dofloo和XorDDoS等DDoS家族不同,该家族使用DGA算法生成C&C,每个月可以产生大量域名,并采取非对称加密+签名验证的方式保护通信流量,遵循零信任的原则。
此外,Bigviktor在刚被发现时,其功能尚不完整,体现了与传统僵尸网络不同的发展模式,即先实现入侵传播,在站稳脚跟后再通过后期逐步更新来完善功能。该模式需要维持C&C在一段时间不被封杀,与该家族采取的C&C和流量保护措施完全契合,同时也暴露了黑产内部激烈的竞争态势。
04分布式挖掘海量目标
如今,众多的Web管理和服务系统无时无刻不遭受各类渗透攻击,其中弱口令则是一种最简单的方式。如何尽快收集这些暴露在公网上的目标并实施高效的渗透,成为了攻击者行动的另一个方向。
2019年年初出现的Gobrut家族扮演的便是这样的角色。该家族版本不停迭代,至今依然活跃。由于该家族只用于暴力破解,因此表现出与传统僵尸网络家族不同的需求。Gobrut的C&C会生成目标和弱口令列表,由肉鸡下载后发起对目标的扫描或登录尝试,若成功则提交结果,由此形成一个分布式暴力破解僵尸网络。
通过分布式的作业模式,C&C能以较快速度获得目标类型的扫描结果,并指定肉鸡将主要精力放在暴力破解上。同时C&C后台还承担了子域名挖掘工作,由此获得大量域名供Gobrut肉鸡进行扫描,由此形成了【子域名挖掘->分发->扫描->反馈->再分发->暴破->再反馈】的模式。
通过这种模式,Gobrut不仅收集了海量子域名作为攻击资产,而且缩短了弱口令暴破时间,甚至可在黑市兜售被攻破目标信息以获利,可谓一箭三雕。
前往【研究报告】栏目,阅读《2020 BOTNET趋势报告》完整版,了解“各家族”详细解读及相关统计数据。