绿盟

绿盟科技

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

狼烟再起 | 物联网僵尸家族入侵模式再更新,阻击需提前

2021-01-27

全文共1975字,阅读大约需要3分钟。

Linux/IoT平台作为弱口令和各类漏洞的重灾区,安全事件频发,持续扮演着僵尸网络家族孵化器的角色。尽管Linux/IoT平台仍旧被Mirai和Gafgyt这类的家族所主导,但近两年来一批新家族产生,进一步加剧了Linux/IoT僵尸网络的内斗态势。

日前,绿盟科技发布了《2020 BOTNET趋势报告》。其中,报告中介绍了2019至2020年年末出现的4个新兴Linux/IoT家族,包括Pink、Mozi、Bigviktor及Gobrut。这些家族在影响范围、通信模式、发展方向和目标需求上,相较传统知名的Mirai和Gafgyt等家族而言更为新颖。

报告通过阐述它们的特点及现状,揭示了僵尸网络家族的未来发展趋势:

1、利用小众设备的漏洞部署恶意软件,在局部战场获取收益。

2、使用去中心化的P2P协议进行通信,并构建专属DHT网络,增强C&C隐匿性和跟踪的难度。

3、使用DGA隐藏真实C&C,延长存活周期,为木马后续更新争取时间。同时采用加密+验证的方式保护流量,以瘫痪网络层的特征检测。

4、发展模式逐渐由完善功能再投递,转变为先投递再完善功能。

5、C&C分布式地向肉鸡下发任务,高效地进行暴破活动。

6、C&C后台挖掘和收集海量域名作为日后攻击资产,可自用或出售。

 

01小众设备的“战场”

Linux/IoT设备各式各样,种类繁多,因此有攻击者打起了小众设备的主意。而家庭网关作为用户接入互联网的重要通道和流量入口,便成为了攻击者利用的一环。特别是在流量为王的今天,刷广告已经成为黑产界散播木马的重要动力之一。

2020年疫情期间,有攻击者利用某品牌家用网关的0day漏洞实施了入侵行为,并部署了恶意软件Pink,可进行广告劫持、网络代理、后门替换和DDoS攻击等功能。

此次事件中,攻击者非常了解家用网关。这反映出在IoT平台漏洞层出的今天,黑产组织为了打开局部市场以攫取更多利益,不惜展开针对一些小众设备的研究,主动挖掘或购买漏洞进行利用,同时也侧面反映了当今IoT设备面临的一系列安全窘境。小众设备的“战场”,对安全应急及后续调查研究提出了一定挑战,并对相关安全从业人员的知识宽度也提出了新的要求。

 

02Hello, P2P

C&C通信的隐匿性是决定僵尸网络存活周期的重要因素之一。当今,绝大部分僵尸网络家族均采用Client-Server的TCP通信模式,因此相对容易被追踪和研究,而与此相对的则是少数家族采用的去中心化通信模式。

2019年年底出现的以DDoS为主要目标的Mozi恶意家族,代表了物联网僵尸网络在P2P方向的延伸。Mozi不仅使用P2P通信中已有的DHT协议作为整体网络结构,还在DHT网络内部构建了该家族专属的DHT僵尸网络。这使得一个Mozi节点从加入DHT网络到执行DDoS攻击不能一蹴而就,而是会涉及到多种通信协议,包括DHT、Mozi-DHT、HTTP和UDP协议。

两层DHT通信使得Mozi的网络结构较为复杂,且节点分布离散度较高,有别于传统的僵尸网络。伏影实验室分析发现,Mozi利用常见的传播方式,现已入侵东亚、欧洲和北美等多个地区。据绿盟科技伏影实验室观测,其规模仍在不断扩大中,或于未来演变为重大威胁的可能性已显露。

由于P2P的网络结构较为灵活,在一定程度上隐藏了真实C&C,使得Mozi家族比传统僵尸网络更难治理。

 

03流量武装与发展模式之变

各僵尸网络家族的木马在占领肉鸡后,伴随而来的是其持久性问题。同时C&C通信的保密性,亦是决定僵尸网络存活周期长短的重要因素之一。攻击者以隐藏真实C&C提高存活率,并通过加密流量来隐藏通信内容,从而对抗特征检测。

2020年6月,绿盟科技伏影实验室威胁捕获团队,根据CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据,通过漏洞检测发现了一款全新的DDoS僵尸网络家族Bigviktor。与传统的Mirai、Gafgyt、Dofloo和XorDDoS等DDoS家族不同,该家族使用DGA算法生成C&C,每个月可以产生大量域名,并采取非对称加密+签名验证的方式保护通信流量,遵循零信任的原则。

此外,Bigviktor在刚被发现时,其功能尚不完整,体现了与传统僵尸网络不同的发展模式,即先实现入侵传播,在站稳脚跟后再通过后期逐步更新来完善功能。该模式需要维持C&C在一段时间不被封杀,与该家族采取的C&C和流量保护措施完全契合,同时也暴露了黑产内部激烈的竞争态势。

 

04分布式挖掘海量目标

如今,众多的Web管理和服务系统无时无刻不遭受各类渗透攻击,其中弱口令则是一种最简单的方式。如何尽快收集这些暴露在公网上的目标并实施高效的渗透,成为了攻击者行动的另一个方向。

2019年年初出现的Gobrut家族扮演的便是这样的角色。该家族版本不停迭代,至今依然活跃。由于该家族只用于暴力破解,因此表现出与传统僵尸网络家族不同的需求。Gobrut的C&C会生成目标和弱口令列表,由肉鸡下载后发起对目标的扫描或登录尝试,若成功则提交结果,由此形成一个分布式暴力破解僵尸网络。

通过分布式的作业模式,C&C能以较快速度获得目标类型的扫描结果,并指定肉鸡将主要精力放在暴力破解上。同时C&C后台还承担了子域名挖掘工作,由此获得大量域名供Gobrut肉鸡进行扫描,由此形成了【子域名挖掘->分发->扫描->反馈->再分发->暴破->再反馈】的模式。

通过这种模式,Gobrut不仅收集了海量子域名作为攻击资产,而且缩短了弱口令暴破时间,甚至可在黑市兜售被攻破目标信息以获利,可谓一箭三雕。

 

前往【研究报告】栏目,阅读《2020 BOTNET趋势报告》完整版,了解“各家族”详细解读及相关统计数据。

<<上一篇

开课啦!《绿盟安全服务技术认证-安全运维》报名开启

>>下一篇

重要揭秘!LAZARUS组织最新活动中的新型攻击技术

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入绿盟科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
绿盟科技社区
绿盟科技社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 绿盟科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号