传统僵尸网络家族
本年度,IoT 平台的主要威胁依然是以 Mirai、Gafgyt 等为代表的主流僵尸网络家族,同时以 Dofloo 为首的多平台僵尸网络家族也活于多种设备环境中。这些木马程序普遍具有出现时间长、变种数量众 多、通信模式传统、攻击模式典型等特征。然而,正是这些“土得掉渣”的家族,组成了当今 IoT 平台 威胁形式的主体。
Mirai
本年度,根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统
监测数据,Mirai 家族无疑是最活 的 IoT DDoS僵尸网络家族之一。该家族因代码开源而导致大量变种产生,并通过 UPX变形壳进行保 护。下表显示了本年度特征比较明显的 Mirai 变种:
表 6 Mirai 常见变种与特征
| 变种名称 | 特征 |
|---|---|
| hybridMQ_v2 | 具备 Mirai 初始化代码特征和 Gafgyt 攻击代码特征的混合型变种,通信模式与 Gafgyt 相同。 |
| mirai_skyline | 基于 Mirai 原始代码修改,进行若干项修改: 输出的内容修改为 SkyLine; C&C地址修改为域名; 增加 DNS解析能力; 上线信息替换为:0xBA2224156FAD4049C1F60D; 只保留了 TCP flood,HTTP flood 以及 UDP flood 三种 DDooS 攻击方法。 |
| mirai_joker | 基于 Mirai 变种 Miori修改,输出内容包含关键字 Joker,上线信息同样进行了文字替换。 |
| mirai_haxers | 基于 Mirai 变种 Miori修改,替换了漏洞利用代码,并将字符串替换为 haxers。 |
| mirai_miori_v2 | 基于 Mirai 变种 Miori修改,修改了字符串输出,使用了 Gafgyt 输出字串进行特征混淆 . |
| mirai_Hustle5k | 基于 Mirai 原始代码修改,输出内容包含关键字 Hustle5k,其他无改变。 |
| mirai_hito | 基于 Mirai 原始代码修改,仅替换了加密 key |
| mirai_spider | |
| mirai_Caligula | 基于 Mirai 原始代码修改,输出内容包含关键字 Caligula,其他无改变。 |
| mirai_Mukashi | 基于 Mirai 原始代码修改,调整了 Mirai 的代码结构,调整上线信息为:regis |
| ter me。 | |
| mirai_Fbot | |
| 基于 Mirai 变种 Satori 修改,增加了区块链 DNS解析非标准 C&C名称。 | |
| mirai_remiixx | 基于 Mirai 原始代码修改,输出内容包含关键字 dropbear,其他无改变。 |
| mirai_Kurtis | 基于 Mirai 原始代码修改,输出内容包含关键字 kurtis,其他无改变。 |
| 由上表可见,本年度 Mirai 变种的改变不大,主要集中在 DDoS 功能的置换、漏洞利用代码的更新 和对抗措施的升上。此外,部分变种对 C&C基础设施 | |
| 的保护有所加强,其升体现在两个方面,一 是使用域名来替代 IP,二是使用 Tor 网络加密 C&C信道。而在对抗性方面,Mirai 变种 Aisuru 增加了对蜜罐的检测,在触发以下条件时,会向 C&C发送蜜罐 的 IP 地址及端口: | |
| a. 设备名称为“LocalHost”; | |
| b. 设备上的所有服务将于 6 月 22 日或 6 月 23 日启动 (“ Jun22”或“ Jun23”字符串的存在表 明存在 Cowrie 蜜罐 ); | |
| c. 存在“richard”字符串 ( 开源的 Cowrie 蜜罐中带有这个用户名 )。 |
除以上改动部分之外,本年度中,Mirai 家族在 DDoS 活度方面相较于去年来说有一定升,其 攻击目标主要集中在游戏行业和通用服务类业务。
图 18 Mirai 全年攻击目标 Top20 行业分布
Mirai 攻击者目前运营模式仍然是 BaaS(botnet as a service),攻击事件均匀分布在 24h 内,攻 击自动化程度极高。
Mirai 家族的攻击活动在全年波动较大,攻击事件多集中于第三季度,这也是经济活动恢复较快的 阶段。根据观测数据来看,Mirai 攻击者发动攻击的频率与社会经济活动息息相关。
Gafgyt
作为老牌开源 DDoS 僵尸网络家族,Gafgyt 木马变种众多,使用者遍布世界各地。根据 CNCERT 物联网威胁情报平台及绿盟威胁识别系统监测数据,Gafgyt 木马活跃程度仅次于 Mirai 家族。
目前 Gafgyt 主要变种越来越多地融合了其他开源木马家族的代码,以此弥补原始 Gafgyt 程序的 一些缺陷,包括配置信息外露、持久化能力差等。例如,伏影实验室本年度检测到了大量被命名为 HybridMQ 的 Gafgyt 变种木马,其二进制文件中包含 Gafgyt 木马的基础通信框架,Mirai 木马的 C&C 信息保护逻辑,以及来自其他 Gafgyt/Mirai 变种的多种 DDoS 攻击代码。这样的融合方式在一定程度上 增加了 Gafgyt 木马的生存能力。
Gafgyt 攻击目标依然以互联网通用服务以及各类游戏服务为主,除固定的 21(FTP)、22(SSH)、 53(DNS)、80(HTTP)、443(HTTPS)、3074(XBOXLive) 以外,Gafgyt 瞄准的其他端口随着热门游戏服务 的变化而变化。
这些攻击目标都进一步向欧美地区集中,攻击目标集中于美国、加拿大、英国、法国、德国、澳大 利亚等国,亚洲方面依然以中国作为首要目标。
图 21 Gafgyt 攻击目标国别分布
本年度,伏影实验室检测到的 Gafgyt 木马规模与上年度基本持平(20868->18950),并且在整个 年度都保持了同样水平的活跃度。
图 22 Gafgyt 月度活跃节点数量统计
Gafgyt C&C所在区域进一步集中,以美国、俄罗斯、英国、法国、德国、加拿大、西班牙为主,值 得注意的是伊朗成为了新的 C&C部署地区。
图 23 Gafgyt C&C 地理分布
这些情况说明,在各种治理手段的打击下,Gafgyt 依然具有顽固的生存能力。
281
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
