情报赋能 僵网告警|fodcha携mirai来袭，全网态势分析

近期，中国电信安全公司监测发现两个在互联网上快速传播的DDoS僵尸网络，通过跟踪和监测发现境内已有5000余台主机被控制，且每日会针对多个攻击目标发起DDoS攻击，给网络空间带来较大威胁。

本次传播的两个僵尸网络分别是mirai和fodcha家族，经过进一步分析，我们推断这两个僵尸网络与2022年披露出来的fodcha僵尸网络属于同一黑产组织。fodcha僵尸网络自从被披露以来多次更新恶意程序，对多个国家和地区进行DDoS攻击，牟取巨大利益。本文将从运营商视角，运用中国电信全网分析能力，结合威胁情报，对僵尸网络进行全面分析。

全网洞察分析

本次传播的两个僵尸网络的恶意样本挂载在IP为 193.124.205[.]33[:]4782的主机上。下文将结合中国电信全网分析能力，分析这两种恶意家族在全网态势下的分布和攻击动向。

1.1 僵尸网络全网态势分析

mirai恶意样本中内置的C2域名为skt.bsktem[.]online，该域名的解析IP地址为193.124.205[.]33，C2端口是1985，截至目前，该IP和端口依旧可以通联。

fodcha恶意样本中内置了两个C2域名，分别是hei.8b8n[.]com和hei.h52l[.]com。其中，hei.8b8n[.]com并未查到任何解析记录，而hei.h52l[.]com域名解析到了IP为193.124.205[.]4的主机上，通联端口会从8982、9892、2001、39104四个端口中随机选取一个。目前该IP依旧存活，只是相关通信端口已经关闭。

通过持续监测与这些IP地址和端口通信的主机，可以获取全网被控主机的情况，结合中国电信netflow数据测绘统计结果如下图1所示。

图1 僵尸网络全网通联趋势

从上图可以看出，mirai僵尸网络自9月17日起陆续有被控主机与C2服务器进行通信，在19日达到最大值，随后逐渐进入平稳状态，平均每日有449台主机与C2服务器进行通信，截至10月15日共计有5804台主机受到感染。

而fodcha僵尸网络则是自9月21日起陆续有受害主机开始与C2服务器进行通信，在9月23日达到最高点，随后逐渐下降。该僵尸网络从活跃起仅不到一周时间，攻击者便关闭了相关服务，我们推断这是攻击者为测试僵尸网络性能而进行的一次测试性部署。

1.2 受害者区域分布

截至目前，结合中国电信netflow数据统计，一共有6374台主机被两个僵尸网络感染，被感染主机分布区域如下图2所示。僵尸网络不同于其它恶意病毒，不仅会感染个人电脑和服务器等设备，还会入侵路由器、摄像头等物联网设备，从而获取大量被控主机，因此僵尸网络恶意样本通常利用弱口令爆破和漏洞进行无差别攻击，从下图2也可以看到被控主机分散在全国各地。

图2 境内被控资产省份分布

1.3 僵尸网络攻击动态

鉴于fodcha僵尸网络的C2服务已经关闭，我们无法与之进行通信从而监控其DDoS攻击行为。mirai僵尸网络目前依旧活跃，我们分析了其通信协议，并在10月12日成功与之通信。攻击者每小时的攻击趋势如下图3所示。

截至目前，我们一共收到1067条攻击指令，平均每日的攻击指令约213条。从下图3我们可以发现，攻击者在上午11点至凌晨期间最为活跃，因此我们推断攻击者应该处于东五区区域内。

图3 mirai变种恶意样本每小时攻击趋势

在这1067条攻击指令中，共有2110台主机被DDoS攻击，这些被攻击的主机分布如下图4所示。截至目前，中国被攻击次数最多，有2087台主机被攻击，约占总体的98.91%。

图4 DDoS目标区域分布

其中，各省遭受DDoS攻击情况如下图5所示，以浙江受害资产最为严重，共计1176台主机受到DDoS攻击；山东次之，有337台主机被DDoS攻击。

图5 境内被DDoS资产分布省图

恶意样本分析

2.1 fodcha恶意样本分析

2022年1月，fodcha僵尸网络样本被安全研究人员首次捕获。同年4月份，该黑产团伙对fodcha样本进行更新，增加xxtea算法，对配置信息进行解密，采用OpenNIC和ICANN的双C2结构，防止C2被接管，从而增加主控网络的健壮性，在代码中添加反沙箱和反调试功能。同年6月份，该团伙采用结构化的配置信息，去除反沙箱和反调试功能，随后在7月份额外新增了一组ICANN C2域名。

对本次捕获到的fodcha恶意样本进行分析，可以发现该版本的恶意样本与过往版本的不同之处。本次恶意样本的运行流程图如下图6所示。

图6 fodcha恶意样本流程图

· 解密配置文件

相比于之前版本的恶意样本，本次fodcha不再利用xxtea算法对配置文件进行解密，而是采用chacha20加密算法。该加密算法的key值和nonce值硬编码在了恶意样本中，如表1所示。

表1 fodcha加密算法密钥

根据上述表格中的密钥，我们成功解密出来恶意样本的配置文件如下图7所示。

图7 fodcha配置文件

通过解密得到两个域名hei.8b8n[.]com和hei.h52l[.]com，这两个是攻击者C2服务器的域名，会在后续与C2服务器通信时用到。利用中国电信安全公司威胁情报中心的画像平台，可以有效识别出这两个恶意域名，如下图8所示。

图8 fodcha恶意域名识别

· 单例运行

程序运行后会绑定自身主机127.0.0.1，并监听37922端口。如果该端口已有程序绑定会退出程序，从而实现在同一时间内仅会运行一个恶意程序。

· 连接C2主机

恶意程序会根据上述解密出的两个C2域名，与服务器进行通联。在成功建立连接后，需要进行如下3个阶段的校验，通过后才会获取攻击者的攻击指令和控制指令。在第一阶段中，被控主机会向C2服务器请求chacha20的加密密钥，在此之后，被控主机和C2服务器之间的通信数据均会采用该密钥进行加密，从而躲避流量层面的检测。

1.bot端向C2发送数据包请求chacha20加密算法的key和nonce；

2.bot端向C2发送数据包，数据包使用第一阶段key和nonce进行加密；

3.bot端向C2发送上线包。

· 指令执行

通过上述通信校验后，攻击者会向被控主机发送一系列攻击指令和控制指令，我们总结出该样本的所有指令，如下表2所示。其中攻击指令4、5、6用于上述的通信校验，1、2、3、8用于后续的攻击指令解析。相比于之前的版本，本次fodcha恶意样本增加了shell命令执行功能。

表2 fodcha指令列表

2.2 mirai恶意样本分析

2017年9月30日，mirai僵尸网络的作者在黑客论坛上公布了mirai的源码，自此之后，无数黑产组织开始对mirai源码进行修改，从而运行自己的mirai僵尸网络。从那时起，mirai僵尸网络无法显著标识某一黑产组织，而是与多个黑产组织相关联，这也使安全研究人员更加难以溯源此类攻击。在本次恶意样本捕获中，该站点上同时挂载了mirai和fodcha两种僵尸网络的恶意样本，我们因此得以确定这是fodcha背后的黑产组织所部署的另一个僵尸网络。

本次所捕获到的恶意样本仅仅去除了mirai源码的telnet扫描模块，以及修改了mirai源码的配置文件解密算法，除此之外并未做其它大的改动，在此仅对其配置文件解密算法进行介绍。

不同于mirai使用4字节密码进行异或解密，该恶意样本维护了一个80字节的密码表用于配置文件解密，每次取4字节与密文逐字节进行异或。解密算法如下图9所示。

图9 mirai恶意样本解密算法

通过对配置文件进行解密，得到C2的服务器域名为skt.bsktem[.]online，利用中国电信安全公司威胁情报中心的画像平台，可以有效识别出该恶意域名，如下图10所示。被控主机随后通过解析该域名与C2服务器进行通联，后续的通信协议与mirai源码一致，在此不再赘述。

图10 mirai恶意域名识别

总结

自2022年4月fodcha僵尸网络样本被披露出来以后，其背后的黑产团伙在短短四个月内便对fodcha恶意样本进行了4次更新。对于DDoS黑色产业来说，单一的僵尸网络无法做到一劳永逸，仍旧有被安全人员发现和披露的风险。

该黑产团伙自2022年被多次披露后便“销声匿迹”，而根据本次所捕获到的恶意样本，我们可以发现该黑产团伙除一直在更新fodcha恶意样本之外，仍在致力于部署多个僵尸网络，来保证其黑色产业的平稳运行。

防范建议

随着联网设备的增多，无论是企业还是个人，风险暴漏面都在随之增加。中国电信安全公司建议：

1.广大网民定期更换密码，不使用弱密码以及默认密码；

2.企业梳理资产列表，定期进行漏洞扫描，并及时修复相关漏洞；

3.设备厂商及时下发补丁，修复相关漏洞。

天翼安全科技有限公司（中国电信安全公司，简称“电信安全”）威胁情报中心致力于海量威胁情报的建设工作，并利用全网视角进行生产泛化，形成独特的差异化优势和资源禀赋。目前，威胁情报中心聚焦的情报类型覆盖远控、恶意软件、钓鱼、勒索、挖矿、博彩、色情、APT等主流失陷情报，同时收录基于全网态势感知生产出的海量攻击IP情报，主体失陷情报达千万数量级，攻击信誉情报达千万级，情报数据秒级更新，基础数据实现T+1小时级更新。电信安全提供威胁分析报告服务和安全画像平台，能够在无任何侵入式产品部署的条件下，仅通过输入企业资产IP，便可实现对企业内部存在的勒索病毒风险进行实时检测，第一时间锁定内部安全风险。

未来，电信安全威胁情报研发中心将持续提升威胁情报的准确性及全面性，拓展安全场景服务，为政企客户提供更全面、更丰富、更可靠的网络安全服务。

供稿：产品设计部-威胁情报中心

排版：林芹宇

校对：李雪、陈师慧

执行主编：田金英

主编：冯晓冬

推荐阅读