狼煙再起 | 物聯網殭屍家族入侵模式再更新，阻擊需提前

Linux/IoT平臺作為弱口令和各類漏洞的重災區，安全事件頻發，持續扮演著殭屍網路家族孵化器的角色。儘管Linux/IoT平臺仍舊被Mirai和Gafgyt這類的家族所主導，但近兩年來一批新家族產生，進一步加劇了Linux/IoT殭屍網路的內鬥態勢。

日前，綠盟科技釋出了《2020 BOTNET趨勢報告》。其中，報告中介紹了2019至2020年年末出現的4個新興Linux/IoT家族，包括Pink、Mozi、Bigviktor及Gobrut。這些家族在影響範圍、通訊模式、發展方向和目標需求上，相較傳統知名的Mirai和Gafgyt等家族而言更為新穎。

報告透過闡述它們的特點及現狀，揭示了殭屍網路家族的未來發展趨勢：

1、利用小眾裝置的漏洞部署惡意軟體，在區域性戰場獲取收益。

2、使用去中心化的P2P協議進行通訊，並構建專屬DHT網路，增強C&C隱匿性和跟蹤的難度。

3、使用DGA隱藏真實C&C，延長存活週期，為木馬後續更新爭取時間。同時採用加密+驗證的方式保護流量，以癱瘓網路層的特徵檢測。

4、發展模式逐漸由完善功能再投遞，轉變為先投遞再完善功能。

5、C&C分散式地向肉雞下發任務，高效地進行暴破活動。

6、C&C後臺挖掘和收集海量域名作為日後攻擊資產，可自用或出售。

01.小眾裝置的“戰場”

Linux/IoT裝置各式各樣，種類繁多，因此有攻擊者打起了小眾裝置的主意。而家庭閘道器作為使用者接入網際網路的重要通道和流量入口，便成為了攻擊者利用的一環。特別是在流量為王的今天，刷廣告已經成為黑產界散播木馬的重要動力之一。

2020年疫情期間，有攻擊者利用某品牌家用閘道器的0day漏洞實施了入侵行為，並部署了惡意軟體Pink，可進行廣告劫持、網路代理、後門替換和DDoS攻擊等功能。

此次事件中，攻擊者非常瞭解家用閘道器。這反映出在IoT平臺漏洞層出的今天，黑產組織為了開啟區域性市場以攫取更多利益，不惜展開針對一些小眾裝置的研究，主動挖掘或購買漏洞進行利用，同時也側面反映了當今IoT裝置面臨的一系列安全窘境。小眾裝置的“戰場”，對安全應急及後續調查研究提出了一定挑戰，並對相關安全從業人員的知識寬度也提出了新的要求。

02.Hello, P2P

C&C通訊的隱匿性是決定殭屍網路存活週期的重要因素之一。當今，絕大部分殭屍網路家族均採用Client-Server的TCP通訊模式，因此相對容易被追蹤和研究，而與此相對的則是少數家族採用的去中心化通訊模式。

2019年年底出現的以DDoS為主要目標的Mozi惡意家族，代表了物聯網殭屍網路在P2P方向的延伸。Mozi不僅使用P2P通訊中已有的DHT協議作為整體網路結構，還在DHT網路內部構建了該家族專屬的DHT殭屍網路。這使得一個Mozi節點從加入DHT網路到執行DDoS攻擊不能一蹴而就，而是會涉及到多種通訊協議，包括DHT、Mozi-DHT、HTTP和UDP協議。

兩層DHT通訊使得Mozi的網路結構較為複雜，且節點分佈離散度較高，有別於傳統的殭屍網路。伏影實驗室分析發現，Mozi利用常見的傳播方式，現已入侵東亞、歐洲和北美等多個地區。據綠盟科技伏影實驗室觀測，其規模仍在不斷擴大中，或於未來演變為重大威脅的可能性已顯露。

由於P2P的網路結構較為靈活，在一定程度上隱藏了真實C&C，使得Mozi家族比傳統殭屍網路更難治理。

03.流量武裝與發展模式之變

各殭屍網路家族的木馬在佔領肉雞後，伴隨而來的是其永續性問題。同時C&C通訊的保密性，亦是決定殭屍網路存活週期長短的重要因素之一。攻擊者以隱藏真實C&C提高存活率，並透過加密流量來隱藏通訊內容，從而對抗特徵檢測。

2020年6月，綠盟科技伏影實驗室威脅捕獲團隊，根據CNCERT物聯網威脅情報平臺及綠盟威脅識別系統監測資料，透過漏洞檢測發現了一款全新的DDoS殭屍網路家族Bigviktor。與傳統的Mirai、Gafgyt、Dofloo和XorDDoS等DDoS家族不同，該家族使用DGA演算法生成C&C，每個月可以產生大量域名，並採取非對稱加密+簽名驗證的方式保護通訊流量，遵循零信任的原則。

此外，Bigviktor在剛被發現時，其功能尚不完整，體現了與傳統殭屍網路不同的發展模式，即先實現入侵傳播，在站穩腳跟後再透過後期逐步更新來完善功能。該模式需要維持C&C在一段時間不被封殺，與該家族採取的C&C和流量保護措施完全契合，同時也暴露了黑產內部激烈的競爭態勢。

04.分散式挖掘海量目標

如今，眾多的Web管理和服務系統無時無刻不遭受各類滲透攻擊，其中弱口令則是一種最簡單的方式。如何儘快收集這些暴露在公網上的目標並實施高效的滲透，成為了攻擊者行動的另一個方向。

2019年年初出現的Gobrut家族扮演的便是這樣的角色。該家族版本不停迭代，至今依然活躍。由於該家族只用於暴力破解，因此表現出與傳統殭屍網路家族不同的需求。Gobrut的C&C會生成目標和弱口令列表，由肉雞下載後發起對目標的掃描或登入嘗試，若成功則提交結果，由此形成一個分散式暴力破解殭屍網路。

透過分散式的作業模式，C&C能以較快速度獲得目標型別的掃描結果，並指定肉雞將主要精力放在暴力破解上。同時C&C後臺還承擔了子域名挖掘工作，由此獲得大量域名供Gobrut肉雞進行掃描，由此形成了【子域名挖掘->分發->掃描->反饋->再分發->暴破->再反饋】的模式。

透過這種模式，Gobrut不僅收集了海量子域名作為攻擊資產，而且縮短了弱口令暴破時間，甚至可在黑市兜售被攻破目標資訊以獲利，可謂一箭三雕。