Linux/IoT平臺作為弱口令和各類漏洞的重災區,安全事件頻發,持續扮演著殭屍網路家族孵化器的角色。儘管Linux/IoT平臺仍舊被Mirai和Gafgyt這類的家族所主導,但近兩年來一批新家族產生,進一步加劇了Linux/IoT殭屍網路的內鬥態勢。
日前,綠盟科技釋出了《2020 BOTNET趨勢報告》。其中,報告中介紹了2019至2020年年末出現的4個新興Linux/IoT家族,包括Pink、Mozi、Bigviktor及Gobrut。這些家族在影響範圍、通訊模式、發展方向和目標需求上,相較傳統知名的Mirai和Gafgyt等家族而言更為新穎。
報告透過闡述它們的特點及現狀,揭示了殭屍網路家族的未來發展趨勢:
1、利用小眾裝置的漏洞部署惡意軟體,在區域性戰場獲取收益。
2、使用去中心化的P2P協議進行通訊,並構建專屬DHT網路,增強C&C隱匿性和跟蹤的難度。
3、使用DGA隱藏真實C&C,延長存活週期,為木馬後續更新爭取時間。同時採用加密+驗證的方式保護流量,以癱瘓網路層的特徵檢測。
4、發展模式逐漸由完善功能再投遞,轉變為先投遞再完善功能。
5、C&C分散式地向肉雞下發任務,高效地進行暴破活動。
6、C&C後臺挖掘和收集海量域名作為日後攻擊資產,可自用或出售。
01.小眾裝置的“戰場”
Linux/IoT裝置各式各樣,種類繁多,因此有攻擊者打起了小眾裝置的主意。而家庭閘道器作為使用者接入網際網路的重要通道和流量入口,便成為了攻擊者利用的一環。特別是在流量為王的今天,刷廣告已經成為黑產界散播木馬的重要動力之一。
2020年疫情期間,有攻擊者利用某品牌家用閘道器的0day漏洞實施了入侵行為,並部署了惡意軟體Pink,可進行廣告劫持、網路代理、後門替換和DDoS攻擊等功能。
此次事件中,攻擊者非常瞭解家用閘道器。這反映出在IoT平臺漏洞層出的今天,黑產組織為了開啟區域性市場以攫取更多利益,不惜展開針對一些小眾裝置的研究,主動挖掘或購買漏洞進行利用,同時也側面反映了當今IoT裝置面臨的一系列安全窘境。小眾裝置的“戰場”,對安全應急及後續調查研究提出了一定挑戰,並對相關安全從業人員的知識寬度也提出了新的要求。
02.Hello, P2P
C&C通訊的隱匿性是決定殭屍網路存活週期的重要因素之一。當今,絕大部分殭屍網路家族均採用Client-Server的TCP通訊模式,因此相對容易被追蹤和研究,而與此相對的則是少數家族採用的去中心化通訊模式。
2019年年底出現的以DDoS為主要目標的Mozi惡意家族,代表了物聯網殭屍網路在P2P方向的延伸。Mozi不僅使用P2P通訊中已有的DHT協議作為整體網路結構,還在DHT網路內部構建了該家族專屬的DHT殭屍網路。這使得一個Mozi節點從加入DHT網路到執行DDoS攻擊不能一蹴而就,而是會涉及到多種通訊協議,包括DHT、Mozi-DHT、HTTP和UDP協議。
兩層DHT通訊使得Mozi的網路結構較為複雜,且節點分佈離散度較高,有別於傳統的殭屍網路。伏影實驗室分析發現,Mozi利用常見的傳播方式,現已入侵東亞、歐洲和北美等多個地區。據綠盟科技伏影實驗室觀測,其規模仍在不斷擴大中,或於未來演變為重大威脅的可能性已顯露。
由於P2P的網路結構較為靈活,在一定程度上隱藏了真實C&C,使得Mozi家族比傳統殭屍網路更難治理。
03.流量武裝與發展模式之變
各殭屍網路家族的木馬在佔領肉雞後,伴隨而來的是其永續性問題。同時C&C通訊的保密性,亦是決定殭屍網路存活週期長短的重要因素之一。攻擊者以隱藏真實C&C提高存活率,並透過加密流量來隱藏通訊內容,從而對抗特徵檢測。
2020年6月,綠盟科技伏影實驗室威脅捕獲團隊,根據CNCERT物聯網威脅情報平臺及綠盟威脅識別系統監測資料,透過漏洞檢測發現了一款全新的DDoS殭屍網路家族Bigviktor。與傳統的Mirai、Gafgyt、Dofloo和XorDDoS等DDoS家族不同,該家族使用DGA演算法生成C&C,每個月可以產生大量域名,並採取非對稱加密+簽名驗證的方式保護通訊流量,遵循零信任的原則。
此外,Bigviktor在剛被發現時,其功能尚不完整,體現了與傳統殭屍網路不同的發展模式,即先實現入侵傳播,在站穩腳跟後再透過後期逐步更新來完善功能。該模式需要維持C&C在一段時間不被封殺,與該家族採取的C&C和流量保護措施完全契合,同時也暴露了黑產內部激烈的競爭態勢。
04.分散式挖掘海量目標
如今,眾多的Web管理和服務系統無時無刻不遭受各類滲透攻擊,其中弱口令則是一種最簡單的方式。如何儘快收集這些暴露在公網上的目標並實施高效的滲透,成為了攻擊者行動的另一個方向。
2019年年初出現的Gobrut家族扮演的便是這樣的角色。該家族版本不停迭代,至今依然活躍。由於該家族只用於暴力破解,因此表現出與傳統殭屍網路家族不同的需求。Gobrut的C&C會生成目標和弱口令列表,由肉雞下載後發起對目標的掃描或登入嘗試,若成功則提交結果,由此形成一個分散式暴力破解殭屍網路。
透過分散式的作業模式,C&C能以較快速度獲得目標型別的掃描結果,並指定肉雞將主要精力放在暴力破解上。同時C&C後臺還承擔了子域名挖掘工作,由此獲得大量域名供Gobrut肉雞進行掃描,由此形成了【子域名挖掘->分發->掃描->反饋->再分發->暴破->再反饋】的模式。
透過這種模式,Gobrut不僅收集了海量子域名作為攻擊資產,而且縮短了弱口令暴破時間,甚至可在黑市兜售被攻破目標資訊以獲利,可謂一箭三雕。