传统僵尸网络家族
傳統僵尸網絡家族
本年度,IoT 平臺的主要威脅依然是以 Mirai、Gafgyt 等為代表的主流僵尸網絡家族,同時以 Dofloo 為首的多平臺僵尸網絡家族也活于多種設備環境中。這些木馬程序普遍具有出現時間長、變種數量眾 多、通信模式傳統、攻擊模式典型等特征。然而,正是這些“土得掉渣”的家族,組成了當今 IoT 平臺 威脅形式的主體。
Mirai
本年度,根據 CNCERT物聯網
威脅情報平臺及綠盟威脅識別系統
監測數據,Mirai 家族無疑是最活 的 IoT DDoS僵尸網絡家族之一。該家族因代碼開源而導致大量變種產生,并通過 UPX變形殼進行保 護。下表顯示了本年度特征比較明顯的 Mirai 變種:表 6 Mirai 常見變種與特征
| hybridMQ_v2 | 具備 Mirai 初始化代碼特征和 Gafgyt 攻擊代碼特征的混合型變種,通信模式與 Gafgyt 相同。 |
| mirai_skyline | 基于 Mirai 原始代碼修改,進行若干項修改: 輸出的內容修改為 SkyLine; C&C地址修改為域名; 增加 DNS解析能力; 上線信息替換為:0xBA2224156FAD4049C1F60D; 只保留了 TCP flood,HTTP flood 以及 UDP flood 三種 DDooS 攻擊方法。 |
| mirai_joker | 基于 Mirai 變種 Miori修改,輸出內容包含關鍵字 Joker,上線信息同樣進行了文字替換。 |
| mirai_haxers | 基于 Mirai 變種 Miori修改,替換了漏洞利用代碼,并將字符串替換為 haxers。 |
| mirai_miori_v2 | 基于 Mirai 變種 Miori修改,修改了字符串輸出,使用了 Gafgyt 輸出字串進行特征混淆 . |
| mirai_Hustle5k | 基于 Mirai 原始代碼修改,輸出內容包含關鍵字 Hustle5k,其他無改變。 |
| mirai_hito | 基于 Mirai 原始代碼修改,僅替換了加密 key |
| mirai_spider | |
| mirai_Caligula | 基于 Mirai 原始代碼修改,輸出內容包含關鍵字 Caligula,其他無改變。 |
| mirai_Mukashi | 基于 Mirai 原始代碼修改,調整了 Mirai 的代碼結構,調整上線信息為:regis |
| ter me。 | |
| mirai_Fbot | |
| 基于 Mirai 變種 Satori 修改,增加了區塊鏈 DNS解析非標準 C&C名稱。 | |
| mirai_remiixx | 基于 Mirai 原始代碼修改,輸出內容包含關鍵字 dropbear,其他無改變。 |
| mirai_Kurtis | 基于 Mirai 原始代碼修改,輸出內容包含關鍵字 kurtis,其他無改變。 |
| 由上表可見,本年度 Mirai 變種的改變不大,主要集中在 DDoS 功能的置換、漏洞利用代碼的更新 和對抗措施的升上。此外,部分變種對 C&C基礎設施 | |
| 的保護有所加強,其升體現在兩個方面,一 是使用域名來替代 IP,二是使用 Tor 網絡加密 C&C信道。而在對抗性方面,Mirai 變種 Aisuru 增加了對蜜罐的檢測,在觸發以下條件時,會向 C&C發送蜜罐 的 IP 地址及端口: | |
| a. 設備名稱為“LocalHost”; | |
| b. 設備上的所有服務將于 6 月 22 日或 6 月 23 日啟動 (“ Jun22”或“ Jun23”字符串的存在表 明存在 Cowrie 蜜罐 ); | |
| c. 存在“richard”字符串 ( 開源的 Cowrie 蜜罐中帶有這個用戶名 )。 |
除以上改動部分之外,本年度中,Mirai 家族在 DDoS 活度方面相較于去年來說有一定升,其 攻擊目標主要集中在游戲行業和通用服務類業務。
圖 18 Mirai 全年攻擊目標 Top20 行業分布
Mirai 攻擊者目前運營模式仍然是 BaaS(botnet
as a service),攻擊事件均勻分布在 24h 內,攻 擊自動化程度極高。
Mirai 家族的攻擊活動在全年波動較大,攻擊事件多集中于第三季度,這也是經濟活動恢復較快的 階段。根據觀測數據來看,Mirai 攻擊者發動攻擊的頻率與社會經濟活動息息相關。
Gafgyt
作為老牌開源 DDoS 僵尸網絡家族,Gafgyt 木馬變種眾多,使用者遍布世界各地。根據 CNCERT 物聯網威脅情報平臺及綠盟威脅識別系統監測數據
,Gafgyt 木馬活躍程度僅次于 Mirai 家族。目前 Gafgyt 主要變種越來越多地融合了其他開源木馬家族的代碼,以此彌補原始 Gafgyt 程序的 一些缺陷,包括配置信息外露、持久化能力差等。例如,伏影實驗室
本年度檢測到了大量被命名為 HybridMQ 的 Gafgyt 變種木馬,其二進制文件中包含 Gafgyt 木馬的基礎通信框架,Mirai 木馬的 C&C 信息保護邏輯,以及來自其他 Gafgyt/Mirai 變種的多種 DDoS 攻擊代碼。這樣的融合方式在一定程度上 增加了 Gafgyt 木馬的生存能力。Gafgyt 攻擊目標依然以互聯網通用服務以及各類游戲服務為主,除固定的 21(FTP)、22(SSH)、 53(DNS)、80(HTTP)、443(HTTPS)、3074(XBOXLive) 以外,Gafgyt 瞄準的其他端口隨著熱門游戲服務 的變化而變化。
這些攻擊目標都進一步向歐美地區集中,攻擊目標集中于美國、加拿大、英國、法國、德國、澳大 利亞等國,亞洲方面依然以中國作為首要目標。
圖 21 Gafgyt 攻擊目標國別分布
本年度,伏影實驗室檢測到的 Gafgyt 木馬規模與上年度基本持平(20868->18950),并且在整個 年度都保持了同樣水平的活躍度。
圖 22 Gafgyt 月度活躍節點數量統計
Gafgyt C&C所在區域進一步集中,以美國、俄羅斯、英國、法國、德國、加拿大、西班牙為主,值 得注意的是伊朗成為了新的 C&C部署地區。
圖 23 Gafgyt C&C 地理分布
這些情況說明,在各種治理手段的打擊下,Gafgyt 依然具有頑固的生存能力。
參考資料
綠盟 2020 DDoS攻擊態勢報告
友情鏈接
綠盟 WannaCry勒索軟件溯源分析
友情鏈接
綠盟 2021年度研究報告精華合集
總結
- 上一篇: flink 作业提交流程
- 下一篇: WordPiece、BPE详解及代码