此篇文章发布距今已超过15天,您需要注意文章的内容或图片是否可用!
近期,中国电信安全公司监测发现两个在互联网上快速传播的DDoS僵尸网络,通过跟踪和监测发现境内已有5000余台主机被控制,且每日会针对多个攻击目标发起DDoS攻击,给网络空间带来较大威胁。
本次传播的两个僵尸网络分别是mirai和fodcha家族,经过进一步分析,我们推断这两个僵尸网络与2022年披露出来的fodcha僵尸网络属于同一黑产组织。fodcha僵尸网络自从被披露以来多次更新恶意程序,对多个国家和地区进行DDoS攻击,牟取巨大利益。本文将从运营商视角,运用中国电信全网分析能力,结合威胁情报,对僵尸网络进行全面分析。
本次传播的两个僵尸网络的恶意样本挂载在IP为 193.124.205[.]33[:]4782的主机上。下文将结合中国电信全网分析能力,分析这两种恶意家族在全网态势下的分布和攻击动向。
mirai恶意样本中内置的C2域名为skt.bsktem[.]online,该域名的解析IP地址为193.124.205[.]33,C2端口是1985,截至目前,该IP和端口依旧可以通联。fodcha恶意样本中内置了两个C2域名,分别是hei.8b8n[.]com和hei.h52l[.]com。其中,hei.8b8n[.]com并未查到任何解析记录,而hei.h52l[.]com域名解析到了IP为193.124.205[.]4的主机上,通联端口会从8982、9892、2001、39104四个端口中随机选取一个。目前该IP依旧存活,只是相关通信端口已经关闭。通过持续监测与这些IP地址和端口通信的主机,可以获取全网被控主机的情况,结合中国电信netflow数据测绘统计结果如下图1所示。从上图可以看出,mirai僵尸网络自9月17日起陆续有被控主机与C2服务器进行通信,在19日达到最大值,随后逐渐进入平稳状态,平均每日有449台主机与C2服务器进行通信,截至10月15日共计有5804台主机受到感染。而fodcha僵尸网络则是自9月21日起陆续有受害主机开始与C2服务器进行通信,在9月23日达到最高点,随后逐渐下降。该僵尸网络从活跃起仅不到一周时间,攻击者便关闭了相关服务,我们推断这是攻击者为测试僵尸网络性能而进行的一次测试性部署。截至目前,结合中国电信netflow数据统计,一共有6374台主机被两个僵尸网络感染,被感染主机分布区域如下图2所示。僵尸网络不同于其它恶意病毒,不仅会感染个人电脑和服务器等设备,还会入侵路由器、摄像头等物联网设备,从而获取大量被控主机,因此僵尸网络恶意样本通常利用弱口令爆破和漏洞进行无差别攻击,从下图2也可以看到被控主机分散在全国各地。鉴于fodcha僵尸网络的C2服务已经关闭,我们无法与之进行通信从而监控其DDoS攻击行为。mirai僵尸网络目前依旧活跃,我们分析了其通信协议,并在10月12日成功与之通信。攻击者每小时的攻击趋势如下图3所示。截至目前,我们一共收到1067条攻击指令,平均每日的攻击指令约213条。从下图3我们可以发现,攻击者在上午11点至凌晨期间最为活跃,因此我们推断攻击者应该处于东五区区域内。在这1067条攻击指令中,共有2110台主机被DDoS攻击,这些被攻击的主机分布如下图4所示。截至目前,中国被攻击次数最多,有2087台主机被攻击,约占总体的98.91%。其中,各省遭受DDoS攻击情况如下图5所示,以浙江受害资产最为严重,共计1176台主机受到DDoS攻击;山东次之,有337台主机被DDoS攻击。2022年1月,fodcha僵尸网络样本被安全研究人员首次捕获。同年4月份,该黑产团伙对fodcha样本进行更新,增加xxtea算法,对配置信息进行解密,采用OpenNIC和ICANN的双C2结构,防止C2被接管,从而增加主控网络的健壮性,在代码中添加反沙箱和反调试功能。同年6月份,该团伙采用结构化的配置信息,去除反沙箱和反调试功能,随后在7月份额外新增了一组ICANN C2域名。
对本次捕获到的fodcha恶意样本进行分析,可以发现该版本的恶意样本与过往版本的不同之处。本次恶意样本的运行流程图如下图6所示。
图6 fodcha恶意样本流程图
相比于之前版本的恶意样本,本次fodcha不再利用xxtea算法对配置文件进行解密,而是采用chacha20加密算法。该加密算法的key值和nonce值硬编码在了恶意样本中,如表1所示。表1 fodcha加密算法密钥
根据上述表格中的密钥,我们成功解密出来恶意样本的配置文件如下图7所示。
图7 fodcha配置文件
通过解密得到两个域名hei.8b8n[.]com和hei.h52l[.]com,这两个是攻击者C2服务器的域名,会在后续与C2服务器通信时用到。利用中国电信安全公司威胁情报中心的画像平台,可以有效识别出这两个恶意域名,如下图8所示。图8 fodcha恶意域名识别
程序运行后会绑定自身主机127.0.0.1,并监听37922端口。如果该端口已有程序绑定会退出程序,从而实现在同一时间内仅会运行一个恶意程序。恶意程序会根据上述解密出的两个C2域名,与服务器进行通联。在成功建立连接后,需要进行如下3个阶段的校验,通过后才会获取攻击者的攻击指令和控制指令。在第一阶段中,被控主机会向C2服务器请求chacha20的加密密钥,在此之后,被控主机和C2服务器之间的通信数据均会采用该密钥进行加密,从而躲避流量层面的检测。1.bot端向C2发送数据包请求chacha20加密算法的key和nonce;2.bot端向C2发送数据包,数据包使用第一阶段key和nonce进行加密;通过上述通信校验后,攻击者会向被控主机发送一系列攻击指令和控制指令,我们总结出该样本的所有指令,如下表2所示。其中攻击指令4、5、6用于上述的通信校验,1、2、3、8用于后续的攻击指令解析。相比于之前的版本,本次fodcha恶意样本增加了shell命令执行功能。表2 fodcha指令列表
2017年9月30日,mirai僵尸网络的作者在黑客论坛上公布了mirai的源码,自此之后,无数黑产组织开始对mirai源码进行修改,从而运行自己的mirai僵尸网络。从那时起,mirai僵尸网络无法显著标识某一黑产组织,而是与多个黑产组织相关联,这也使安全研究人员更加难以溯源此类攻击。在本次恶意样本捕获中,该站点上同时挂载了mirai和fodcha两种僵尸网络的恶意样本,我们因此得以确定这是fodcha背后的黑产组织所部署的另一个僵尸网络。
本次所捕获到的恶意样本仅仅去除了mirai源码的telnet扫描模块,以及修改了mirai源码的配置文件解密算法,除此之外并未做其它大的改动,在此仅对其配置文件解密算法进行介绍。不同于mirai使用4字节密码进行异或解密,该恶意样本维护了一个80字节的密码表用于配置文件解密,每次取4字节与密文逐字节进行异或。解密算法如下图9所示。通过对配置文件进行解密,得到C2的服务器域名为skt.bsktem[.]online,利用中国电信安全公司威胁情报中心的画像平台,可以有效识别出该恶意域名,如下图10所示。被控主机随后通过解析该域名与C2服务器进行通联,后续的通信协议与mirai源码一致,在此不再赘述。自2022年4月fodcha僵尸网络样本被披露出来以后,其背后的黑产团伙在短短四个月内便对fodcha恶意样本进行了4次更新。对于DDoS黑色产业来说,单一的僵尸网络无法做到一劳永逸,仍旧有被安全人员发现和披露的风险。
该黑产团伙自2022年被多次披露后便“销声匿迹”,而根据本次所捕获到的恶意样本,我们可以发现该黑产团伙除一直在更新fodcha恶意样本之外,仍在致力于部署多个僵尸网络,来保证其黑色产业的平稳运行。随着联网设备的增多,无论是企业还是个人,风险暴漏面都在随之增加。中国电信安全公司建议:
1.广大网民定期更换密码,不使用弱密码以及默认密码;2.企业梳理资产列表,定期进行漏洞扫描,并及时修复相关漏洞;
3.设备厂商及时下发补丁,修复相关漏洞。
天翼安全科技有限公司(中国电信安全公司,简称“电信安全”)威胁情报中心致力于海量威胁情报的建设工作,并利用全网视角进行生产泛化,形成独特的差异化优势和资源禀赋。目前,威胁情报中心聚焦的情报类型覆盖远控、恶意软件、钓鱼、勒索、挖矿、博彩、色情、APT等主流失陷情报,同时收录基于全网态势感知生产出的海量攻击IP情报,主体失陷情报达千万数量级,攻击信誉情报达千万级,情报数据秒级更新,基础数据实现T+1小时级更新。电信安全提供威胁分析报告服务和安全画像平台,能够在无任何侵入式产品部署的条件下,仅通过输入企业资产IP,便可实现对企业内部存在的勒索病毒风险进行实时检测,第一时间锁定内部安全风险。
未来,电信安全威胁情报研发中心将持续提升威胁情报的准确性及全面性,拓展安全场景服务,为政企客户提供更全面、更丰富、更可靠的网络安全服务。
供稿:产品设计部-威胁情报中心
排版:林芹宇
校对:李雪、陈师慧
执行主编:田金英
主编:冯晓冬
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com
还没有评论,来说两句吧...