傳統(tǒng)僵尸網(wǎng)絡(luò)家族

本年度，IoT 平臺(tái)的主要威脅依然是以 Mirai、Gafgyt 等為代表的主流僵尸網(wǎng)絡(luò)家族，同時(shí)以 Dofloo 為首的多平臺(tái)僵尸網(wǎng)絡(luò)家族也活于多種設(shè)備環(huán)境中。這些木馬程序普遍具有出現(xiàn)時(shí)間長、變種數(shù)量眾 多、通信模式傳統(tǒng)、攻擊模式典型等特征。然而，正是這些“土得掉渣”的家族，組成了當(dāng)今 IoT 平臺(tái) 威脅形式的主體。

Mirai

本年度，根據(jù) CNCERT物聯(lián)網(wǎng)
威脅情報(bào)平臺(tái)及綠盟威脅識(shí)別系統(tǒng)
監(jiān)測數(shù)據(jù)，Mirai 家族無疑是最活 的 IoT DDoS僵尸網(wǎng)絡(luò)家族之一。該家族因代碼開源而導(dǎo)致大量變種產(chǎn)生，并通過 UPX變形殼進(jìn)行保 護(hù)。下表顯示了本年度特征比較明顯的 Mirai 變種：表 6　Mirai 常見變種與特征

變種名稱特征

hybridMQ_v2	具備 Mirai 初始化代碼特征和 Gafgyt 攻擊代碼特征的混合型變種，通信模式與 Gafgyt 相同。
mirai_skyline	基于 Mirai 原始代碼修改，進(jìn)行若干項(xiàng)修改： 輸出的內(nèi)容修改為 SkyLine； C&C地址修改為域名； 增加 DNS解析能力； 上線信息替換為：0xBA2224156FAD4049C1F60D； 只保留了 TCP flood，HTTP flood 以及 UDP flood 三種 DDooS 攻擊方法。
mirai_joker	基于 Mirai 變種 Miori修改，輸出內(nèi)容包含關(guān)鍵字 Joker，上線信息同樣進(jìn)行了文字替換。
mirai_haxers	基于 Mirai 變種 Miori修改，替換了漏洞利用代碼，并將字符串替換為 haxers。
mirai_miori_v2	基于 Mirai 變種 Miori修改，修改了字符串輸出，使用了 Gafgyt 輸出字串進(jìn)行特征混淆 .
mirai_Hustle5k	基于 Mirai 原始代碼修改，輸出內(nèi)容包含關(guān)鍵字 Hustle5k，其他無改變。
mirai_hito	基于 Mirai 原始代碼修改，僅替換了加密 key
	mirai_spider
mirai_Caligula	基于 Mirai 原始代碼修改，輸出內(nèi)容包含關(guān)鍵字 Caligula，其他無改變。
mirai_Mukashi	基于 Mirai 原始代碼修改，調(diào)整了 Mirai 的代碼結(jié)構(gòu)，調(diào)整上線信息為：regis
ter me。
mirai_Fbot
基于 Mirai 變種 Satori 修改，增加了區(qū)塊鏈 DNS解析非標(biāo)準(zhǔn) C&C名稱。
mirai_remiixx	基于 Mirai 原始代碼修改，輸出內(nèi)容包含關(guān)鍵字 dropbear，其他無改變。
mirai_Kurtis	基于 Mirai 原始代碼修改，輸出內(nèi)容包含關(guān)鍵字 kurtis，其他無改變。
由上表可見，本年度 Mirai 變種的改變不大，主要集中在 DDoS 功能的置換、漏洞利用代碼的更新 和對(duì)抗措施的升上。此外，部分變種對(duì) C&C基礎(chǔ)設(shè)施
的保護(hù)有所加強(qiáng)，其升體現(xiàn)在兩個(gè)方面，一 是使用域名來替代 IP，二是使用 Tor 網(wǎng)絡(luò)加密 C&C信道。而在對(duì)抗性方面，Mirai 變種 Aisuru 增加了對(duì)蜜罐的檢測，在觸發(fā)以下條件時(shí)，會(huì)向 C&C發(fā)送蜜罐 的 IP 地址及端口：
a.　設(shè)備名稱為“LocalHost”；
b.　設(shè)備上的所有服務(wù)將于 6 月 22 日或 6 月 23 日啟動(dòng) (“ Jun22”或“ Jun23”字符串的存在表 明存在 Cowrie 蜜罐 )；
c.　存在“richard”字符串 ( 開源的 Cowrie 蜜罐中帶有這個(gè)用戶名 )。

除以上改動(dòng)部分之外，本年度中，Mirai 家族在 DDoS 活度方面相較于去年來說有一定升，其 攻擊目標(biāo)主要集中在游戲行業(yè)和通用服務(wù)類業(yè)務(wù)。
圖 18　Mirai 全年攻擊目標(biāo) Top20 行業(yè)分布
Mirai 攻擊者目前運(yùn)營模式仍然是 BaaS（botnet
as a service），攻擊事件均勻分布在 24h 內(nèi)，攻 擊自動(dòng)化程度極高。

Mirai 家族的攻擊活動(dòng)在全年波動(dòng)較大，攻擊事件多集中于第三季度，這也是經(jīng)濟(jì)活動(dòng)恢復(fù)較快的 階段。根據(jù)觀測數(shù)據(jù)來看，Mirai 攻擊者發(fā)動(dòng)攻擊的頻率與社會(huì)經(jīng)濟(jì)活動(dòng)息息相關(guān)。

Gafgyt

作為老牌開源 DDoS 僵尸網(wǎng)絡(luò)家族，Gafgyt 木馬變種眾多，使用者遍布世界各地。根據(jù) CNCERT 物聯(lián)網(wǎng)威脅情報(bào)平臺(tái)及綠盟威脅識(shí)別系統(tǒng)監(jiān)測數(shù)據(jù)
，Gafgyt 木馬活躍程度僅次于 Mirai 家族。目前 Gafgyt 主要變種越來越多地融合了其他開源木馬家族的代碼，以此彌補(bǔ)原始 Gafgyt 程序的 一些缺陷，包括配置信息外露、持久化能力差等。例如，伏影實(shí)驗(yàn)室
本年度檢測到了大量被命名為 HybridMQ 的 Gafgyt 變種木馬，其二進(jìn)制文件中包含 Gafgyt 木馬的基礎(chǔ)通信框架，Mirai 木馬的 C&C 信息保護(hù)邏輯，以及來自其他 Gafgyt/Mirai 變種的多種 DDoS 攻擊代碼。這樣的融合方式在一定程度上 增加了 Gafgyt 木馬的生存能力。Gafgyt 攻擊目標(biāo)依然以互聯(lián)網(wǎng)通用服務(wù)以及各類游戲服務(wù)為主，除固定的 21(FTP)、22(SSH)、 53(DNS)、80(HTTP)、443(HTTPS)、3074(XBOXLive) 以外，Gafgyt 瞄準(zhǔn)的其他端口隨著熱門游戲服務(wù) 的變化而變化。

這些攻擊目標(biāo)都進(jìn)一步向歐美地區(qū)集中，攻擊目標(biāo)集中于美國、加拿大、英國、法國、德國、澳大 利亞等國，亞洲方面依然以中國作為首要目標(biāo)。
圖 21　Gafgyt 攻擊目標(biāo)國別分布
本年度，伏影實(shí)驗(yàn)室檢測到的 Gafgyt 木馬規(guī)模與上年度基本持平（20868->18950），并且在整個(gè) 年度都保持了同樣水平的活躍度。

圖 22　Gafgyt 月度活躍節(jié)點(diǎn)數(shù)量統(tǒng)計(jì)

Gafgyt C&C所在區(qū)域進(jìn)一步集中，以美國、俄羅斯、英國、法國、德國、加拿大、西班牙為主，值 得注意的是伊朗成為了新的 C&C部署地區(qū)。
圖 23　Gafgyt C&C 地理分布
這些情況說明，在各種治理手段的打擊下，Gafgyt 依然具有頑固的生存能力。

參考資料

綠盟 2020 DDoS攻擊態(tài)勢報(bào)告

友情鏈接

綠盟 WannaCry勒索軟件溯源分析

友情鏈接

綠盟 2021年度研究報(bào)告精華合集

總結(jié)

以上是生活随笔為你收集整理的传统僵尸网络家族的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。