僵尸网络 DDoS 攻击活动分析
典型攻擊鏈
本年度,伏影實驗室根據 CNCERT物聯網
威脅情報平臺及綠盟威脅識別系統監測數據,在檢測僵尸 網絡威脅與網絡攻擊事件時發現,Mirai 變種 Fetch 家族使用了最新的攻擊鏈進行攻擊。而在發現該攻 擊事件的前 3 個小時左右,國外論壇才剛剛披露相關利用。這足以說明:僵尸網絡運營者的情報轉化能 力已經遠遠超出防御方的固有認知。因此本節將 Fetch 家族利用的兩條攻擊鏈作為年度攻擊事件進行介紹。CVE-2020-12109 與 CVE-2020-12110
Fetch 家族使用了兩個已知漏洞 CVE-2020-12109 和 CVE-2020-12110。 該利用鏈的流程如下:
進行命令執行。
此外,攻擊者結合 CVE-2020-12110,可解密 FTP 服務器
密碼、PPPoE 用戶名密碼、SMTP 服務用 戶名密碼以及 DDNS用戶名密碼。
圖 4 漏洞利用鏈代碼片段
在該樣本被發現之前,僅有人發布 CVE-2020-12109 漏洞的 POC 信息以及漏洞原理的簡要分析, 并未完全指出漏洞的利用思路。此次披露的攻擊鏈可以結合 CVE-2020-12110 硬編碼加密密鑰漏洞組合 使用,獲取敏感數據,其公布時間與 CVE-2020-12109 相同。
CVE-2019-6971 與 CVE-2017-13772
除使用新披露的攻擊鏈之外,Fetch 家族還使用了一個已知的攻擊鏈,該攻擊鏈在 2017 年 10 月被 公布,且附帶詳細的漏洞利用代碼及原理分析。
該利用鏈影響平臺有:TP-Link WR940N WiFi 路由器
,硬件版本為 4。9
該利用鏈利用流程如下:
Get /userRpm/LoginRpm.html
(CVE-2019-6971 TP-Link TL-WR1043ND 2 - Authentication Bypass 漏洞)
圖 5 漏洞利用鏈代碼片段
此漏洞利用鏈也是第一次在 Mirai 系列的惡意家族中發現,此前并未有人詳細描述這類攻擊鏈具體 利用代碼。這表明,在 GitHub 或 MSF 平臺公布的漏洞利用鏈均會被攻擊者直接獲取,快速轉化為利用 代碼并部署。
僵尸網絡 DDoS 攻擊活動分析
2020 年,伏影實驗室 bothunter 監控系統發現了超過百萬的 DDoS 攻擊指令數和超過 16 萬起攻擊 事件。在監測過程中發現,DDoS活動具有周期性,存在低谷期和高峰期。該現象可能與本年度“凈網” 活動相關:2020 年 4 月起,公安部
網絡安全保衛局啟動“凈網 2020”專項行動,嚴厲打擊網絡犯罪活 動,下圖亦顯示了 4 月以后 DDoS 攻擊活動的下降趨勢。7 月,在網絡犯罪活動再次抬頭的情況下,公安部持續進行“凈網行動 ”,再次打擊了犯罪活動,DDoS 攻擊事件量逐步下降,再次遏制了網絡犯罪 活動的抬頭傾向。
DDoS 攻擊活動的攻擊目標分布于世界各地,而中國和美國則是重災區,這與我們前幾年的監控數 據基本一致。
圖 7 DDoS 攻擊目標國別分布
在攻擊方法上來看,利用 UDP、TCP、慢速攻擊仍然是僵尸網絡進行 DDoS 攻擊的主要手段。
年度重點家族盤點―物聯網與跨平臺僵尸網絡家族
本章節將介紹伏影實驗室
一直以來投入大量精力監控和分析的僵尸網絡家族,在疫情期間,盡管這 些家族的活度或多或少受到了影響,但仍然是網絡世界中傳播范圍最廣和影響最大的僵尸網絡家族 族群。### 新興僵尸網絡家族
本年度,根據 CNCERT物聯網威脅情報平臺及綠盟威脅識別系統監測數據,Mozi、Bigviktor、 GoBrut 等新興 IoT 僵尸網絡木馬家族因其活度高,技術新穎,成為重點觀測對象。這些新型木馬有 的采用了全新的通信模式,有的吸收了其他平臺木馬使用的反偵測手段,有的則轉變了攻擊方式和主要 攻擊目標。
Pink
疫情期間,綠盟科技的威脅捕獲系統捕獲到了一個針對家用 IoT 設備某品牌的家庭網關進行網絡劫 持攻擊的惡意軟件 pink。通過對家庭網關的分析,可知攻擊者的開發攻擊套件實現了流量轉發、HTTP 流量劫持與修改和廣告頁嵌入的功能。
- 本案例是首次在家用 IoT 設備中發現進行廣告劫持的惡意軟件家族;
- 案例中涉及的漏洞為軟件 0 day;
- 攻擊者使用了 tmpfs 用于刪除指定文件,該手段在 IoT 家族中極為少見;
- 攻擊者使用的廣告劫持技術是目前正在使用的較成熟技術,并非是新技術;
- 攻擊者對家用網關及其控制與維護方法非常熟悉;
- 本次事件中發現的惡意組件并非其所有的感染模塊,而攻擊者目前已經靜默。
- 攻擊者使用 iptables+netfilter 的組合拳對進行流程劫持修改,繼續開發則可以使用中間人攻擊 的方式獲取用戶的通信記錄,用戶名密碼等高敏感度信息。
Mozi
2019 年底出現的 Mozi 僵尸網絡木馬,在 2020 年前兩季度迎來了快速增長。
物聯網平臺僵尸網絡發展至今,控制者已不再滿足于基于 TCP 的傳統模式,開始探索高隱匿性的 網絡模型。作為物聯網僵尸網絡在 P2P 方向延伸的代表,Mozi 木馬使用 DHT協議組成網絡結構,并在 DHT網絡內部構建 Mozi-DHT僵尸網絡。自 19 年被發現以來,Mozi 至今依然在擴大其規模。經過跟蹤 分析,今年一季度以來 Mozi 的日均可探索節點已經超過了 10000 個,占據了整個 DHT網絡規模的 1% 以上,這表明 Mozi 已發展成為中等規模的僵尸網絡,可以對世界范圍內的目標尤其是國內的網絡節點 發動有威脅的攻擊。
從代碼構成來看,Mozi 木馬并非獨立開發,程序的持久化模塊和攻擊模塊復用了一部分 Gafgyt 及 其變種的代碼,其功能包括重命名實例、監視 watchdog、添加 iptables 規則等,并支持 UDP、TCP、 HTTP 等常規 DDoS 攻擊方式。
Mozi 的傳播部分同樣使用了常見的方案,對隨機或指定的 ip 地址,使用漏洞與 telnet 弱口令爆破 進行攻擊,其常用漏洞載荷可實現對 Netgear、Realtek、DLink、Huawei、GPON、Vacron、Zyxel 等廠 家特定型號 IoT 設備的入侵。
下圖展示了某 Mozi 節點從加入 DHT網絡到執行攻擊者指令的過程:
伏影實驗室分析發現,Mozi 僵尸網絡主要根據地為東亞、歐洲和北美洲,澳大利亞和巴西等國也 有些許分布。中國境內探測到的 Mozi 節點占總數的 25.3%,是 Mozi 僵尸網絡的最大來源,而數量第 二的美國占比為 10.3%,第三名的韓國為 7.9%。歐洲區域節點則集中在俄羅斯、德國、法國和波蘭等國。 此外,由于 Mozi 的特殊網絡模式,其節點分布離散度極大,與傳統僵尸網絡集中于網絡發達地區的普 遍規律截然不同。
Mozi 節點的全球熱點分布如下圖:
此外,國內某節點的流量數據顯示,一季度 IoT 網絡漏洞掃描流量的 96% 都由 Mozi 節點發出,這 說明 Mozi 網絡仍然處在積極擴張期,致力于控制更多物聯網設備。
由于基于 P2P 的網絡模式,Mozi 將比傳統僵尸網絡更難檢測和治理。鑒于 Mozi 使用了物聯網僵尸 網絡的常見傳播方式,其最終可能會發展到與 Mirai 與 Gafgyt 等知名僵尸網絡同等的規模。
參考資料
綠盟 2020 DDoS攻擊態勢報告
友情鏈接
GA 38–2021 銀行安全防范要求
總結
以上是生活随笔為你收集整理的僵尸网络 DDoS 攻击活动分析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 一个乞丐的艳遇
- 下一篇: 计算机之父童年的故事简介,“计算机之父”