劍指物聯網安全，揭秘首個物聯網攻擊組織-FreakOut of KekSec

FreakOut事件概述

2021年1月上旬，CNCERT物聯網威脅分析團隊透過實時運轉的資料平臺捕獲到一種未知惡意程式out.py，它的典型傳播域名為gxbrowser.net。綠盟科技伏影實驗室對該程式樣本、傳播Payload等進行深入研究，並與開源情報進行比對，確認它是一種新型殭屍網路家族。

1月中下旬，多家國內外公司也發現了這個惡意程式，由於它的名稱為out.py，且關聯到的攻擊者代號為Freak，因此該家族被命名為FreakOut。該惡意程式在傳播中使用了3種漏洞，分別是：

CVE-2020-28188（TerraMaster TOS 未授權 RCE）；

CVE-2020-7961（Liferay Portal 程式碼執行漏洞）；

CVE-2021-3007（Zend Framework反序列化漏洞）；

其中CVE-2021-3007於2021年1月3日左右公開，很快就被黑產團伙利用（CNCERT監測到該漏洞被利用的最早日期為1月7日）。

透過持續分析，我們逐漸挖掘出了該家族背後的運營者以及售賣者。本文將詳細描述FreakOut相關資訊的關聯過程，以及其背後組織的發展過程。

一、FreakOut組織分析

1.1  攻擊者梳理

經溯源發現，FreakOut並非是攻擊者於當下從零構建的惡意家族，而是經過多年修改變化而得。攻擊者近期使用的一個版本necro.py，保留了註釋資訊，並披露了殭屍網路的名稱與攻擊者的代號，如下圖所示：

這個躲在FreakOut事件背後的攻擊團伙有著多年曆史，而FreakOut作為Python編寫的DDoS木馬，只是該攻擊團伙開發或使用過大量駭客工具的冰山一角而已。

早在2014年，攻擊者就以Fl0urite為使用者名稱，在Hackthissite論壇上討論使用Python編寫DDoS木馬，並在2015年於HackForums論壇中以相同使用者名稱發帖，提及了N3cr0m0rph IRC殭屍網路，可見當時已經初具規模。之後，因為各項變動，攻擊者就很少使用Fl0urite這個賬號了。

此外，攻擊者在Stackoverflow上註冊了使用者N3Cr0M0rPh，其釋出的帖子中指向的Pastebin頁面上存放了與殭屍網路相關的工具和木馬程式碼，仍然處於活躍狀態。

另外我們在梳理本次事件的攻擊技術時，發現了該組織使用的一種新型間接命令執行技術並對其進行了擴充套件研究，以下將對該技術進行詳細分析。

1.2  組織軌跡梳理

透過對Pastebin共享的檔案進行分析，我們獲取到了攻擊者與其背後的組織曾使用過的多個ID:

我們基於這些ID以及木馬程式中發現的其他資訊，收集了相關資訊並進行了關聯整理。下圖顯示了部分資訊的聯絡過程：

透過以上關聯過程，我們最終確認FreakOut開發者曾經在以下三個組織中活動：

在活躍時間上，Salamander Squad、PopulusControl和Kek Security三個組織呈現了明顯的迭代關係，這可能與組織主要開發者的動向有關。

同時，我們確認了以上組織的部分組成人員：

彙總以上資訊，我們可以確定FreakOut背後組織的發展軌跡。

FreakOut的主要開發者Freak，早在2014年就在一個名為Salamander Squad的DDoS殭屍網路運營團體中活動。此人不久後加入（或創立）了暱稱為Binary的開發者所在的PopulusControl組織，繼續進行DDoS殭屍網路的運營活動。

PopulusControl時期，組織成員在一個名為BullyWiiHacks的駭客論壇活動，並透過IRC頻道保持聯絡。BullyWiiHacks的註冊使用者shitnbitch、thedetonator、shadow等人也是PopulusControl組織的成員。

2014年底，Binary聲稱將離開PopulusControl組織自立門戶，並帶走了部分成員。此後PopulusControl的開發任務主要由Freak負責。Freak在此期間更新了稱為CancerNet與稱為n3cr0m0rph的python IRC bot程式的多個版本，這些木馬程式是FreakOut木馬的前身。

2016年，Freak加入（或創立）了名為KeK Security的駭客組織。該組織除繼續運營殭屍網路外，還進行了一些高調的駭客行動，包括入侵公共廣告牌(https://hacked.wtf/hacker-news/keksec-on-billboard-security/2019/09/17/)等，並在推特上炫耀其入侵結果。下圖顯示了一則Keksec將殺軟McAfee創始人John McAfee的推文搬運到廣告牌上，並高調轉發John McAfee對於此事表態的推文。

作為KeK Security的主要開發者之一，Freak製作了多個開源IoT木馬的變種並投入使用，這些變種程式通常被命名為keksec.[platfrom]，如keksec.x86和keksec.arm7。

相關組織的頁面資訊如下：

1.3  組織商業行為

Freak及其所在的Kek Security組織主要透過銷售駭客軟體以及銷售DDoS資源的方式獲利。Freak及其相關組織的售賣活動，可在其論壇活動中找到蛛絲馬跡。

2020年，Hackforums論壇中一個名為Freak_OG的使用者，曾在2020-06-17發帖，聲稱提供免費私人挖礦安裝包，並在2020-12-06試圖以25美元的價格出售其靜默挖礦工具：

該挖礦工具使用XMRIG v6.6.2，包含多種特性，支援多種方式付款。為了推銷工具，該使用者還貼出了一些截圖來證明可以獲得金錢收入。

2020-12-01，Freak_OG發帖，推銷一款名為DarkHTTP Loader的殭屍網路木馬，售價50美元。按照說明，該木馬提供了一個控制皮膚，並實現了多種功能，包括內網傳播、檔案竊取、USB傳播、基於對SMB/MSSQL/MYSQL協議暴力破解實現的蠕蟲功能。

此外，Freak_OG還以75美元的價格售賣一款名為DarkIRC的Windows木馬。該木馬透過WebLogic漏洞進行傳播，可進行DDoS攻擊、鍵盤記錄、下載可執行檔案、執行Shell命令、盜竊瀏覽器憑據和劫持比特幣交易等惡意行為。

不過，該組織顯然不善於隱藏自身，並受到研究人員的關注。在一篇帖子中，該使用者對研究人員曝光其行為的舉動進行吐槽，並主動承認自己不僅售賣木馬，還發動過攻擊行為。

這些資訊表明，Kek Security一直在積極尋求自身資源的變現方法。

1.4  其他殭屍網路家族關聯

除了FreakOut這樣的Python DDoS家族外，Freak及KeK Security還運營了其他殭屍網路家族，並公用C&C基礎設施。

資訊顯示，該組織使用了IRCBot和Tsunami這兩個IRC家族進行DDoS活動，並曾使用Freak、keksec和kek這類名稱作為IRC頻道名，最大可容納1214個使用者，且大部分來自美國。

Kek Security組織還運營著一個被我們稱為HybridMQ-keksec的木馬程式構建的殭屍網路。HybridMQ-keksec是組合Mirai及Gafgyt的原始碼並進行修改後得到的DDoS木馬程式，主要使用華為HG532路由器命令注入和ThinkPHP遠端命令執行等漏洞進行傳播。

此外，部分HybridMQ-keksec木馬程式搭載了新功能，可檢查當前接收到網路中的原始TCP流量，若涉及HTTP、FTP和SMTP服務，則會將埠和資料資訊回傳至C&C。這種操作在Linux/IoT平臺上DDoS家族中比較罕見，使得攻擊者可以在利用受害者主機進行DDoS攻擊之外，還可竊取受害者主機中非加密通訊資料為後續的可能的內網滲透或定向攻擊提供便利。

二、FreakOut樣本分析

本次事件中出現的FreakOut樣本是典型的python IRC bot木馬程式。該木馬會連線硬編碼CnC中的IRC頻道，接收CnC下發的指令進行資訊收集、DDoS攻擊、shell互動、ARP嗅探等攻擊行為。該木馬還帶有三個漏洞載荷，可以攻擊帶有漏洞的web server以進行橫向傳播。

為了更好展示程式碼，下文截圖中的部分程式碼進行了去混淆處理。

2.1  持久化及對抗

FreakOut木馬主要透過以下操作實現持久化：

1、fork生成daemon實現程式守護：

2、透過更名為boot.py並將自身寫入rc.local實現開機啟動：

FreakOut木馬一般帶有以下對抗行為：

1、透過異或加密及zlib壓縮實現了關鍵資訊的保護：

該異或加密對應以下解密演算法：

2、透過變數及方法名混淆在某種程度干擾分析：

3、執行例項唯一化及命令列檢測：

該樣本透過使用抽象UNIX域套接字，並繫結特殊關鍵字postconnect_gateway_notify_lock實現單例化。

2.2  漏洞傳播

FreakOut木馬使用CVE-2020-28188、CVE-2021-3007、CVE-2020-7961三個漏洞，分別針對TerraMaster TOS、Liferay Portal和Zend Framework進行橫向傳播。值得注意的是CVE-2021-3007是出現在2021年1月的反序列化漏洞，與FreakOut木馬的在野出現時間非常接近。

1、 CVE-2020-28188

該漏洞是由“ makecvs” PHP頁面（/include/makecvs.php）中“ event”引數缺少輸入驗證引起的。這允許未經身份驗證的遠端攻擊者注入OS命令，並使用TerraMaster TOS（4.2.06之前的版本）獲得對伺服器的控制。

2、CVE-2021-3007

該漏洞是由物件的非安全反序列化引起的。在高於Zend Framework 3.0.0的版本中，攻擊者濫用Zend3功能從物件載入類，以便在伺服器中上載和執行惡意程式碼。可以使用“ callback”引數上傳程式碼，在這種情況下，該引數將插入惡意程式碼，而不是“ callbackOptions”陣列。

3、 CVE-2020-7961

該漏洞是Liferay Portal（在7.2.1 CE GA2之前的版本中）透過JSONWS進行的Java解組漏洞。編組類似於序列化，用於與遠端物件（在本例中為序列化物件）進行通訊。利用此漏洞，攻擊者可以提供一個惡意物件，該惡意物件在未經編組時可以允許遠端執行程式碼。

該漏洞payload經反序列化會訪問http://gxbrowser.net:8004/t，下載名為t的java檔案，由下圖可知漏洞利用成功後會獲取out.py，並更名執行。

2.3  ARP嗅探及投毒

FreakOut實現了ARP嗅探功能，會將自身設定為中間人，排除部分源及目的埠(1337/6667/23/443/37215/53/22)，將接收資訊轉發到伺服器1337埠。

該功能的具體實現見下圖：

2.4 通訊內容

該木馬使用IRC協議與C&C通訊，上線資訊示例如下：

樣例：

NICK [HAX|Linux|x86_64|32]aYXzMIcqFqg

釋義：

[HAX|作業系統|架構|CPU數量]8-12個隨機字母

樣例：

USER [HAX|Linux|x86_64|32]aYXzMIcqFqg gxbrowser.net localhost: aYXzMIcqFqg

釋義：

此命令在NICK基礎上新增伺服器地址及硬編碼欄位“localhost: ”

樣例：

JOIN #update N3Wm3W

釋義：

硬編碼頻道及聊天室密碼

2.5 指令與功能

在CnC的控制下，FreakOut木馬可以進行資訊收集、DDoS攻擊、shell互動、ARP嗅探等攻擊行為。

2.6 版本迭代

FreakOut在2020年年末到2021年年初期間至少更新過3個在野版本。

第一個版本necro.py，與out.py有著相似的框架，程式碼可讀性強，是out.py的前身。

第二個版本out.py，即前文分析的版本，在necro的基礎上大大增加了程式碼混淆，並增加了TCP Flood和漏洞利用。

第三個版本benchmark.py，在out的基礎上增加了DGA域名設定，使得所有生成的C&C皆以xyz為頂級域名。

三、監測資料

根據CNCERT物聯網威脅分析團隊的監測資料，發現FreakOut相關的攻擊伺服器IP地址532個，地域分佈如下圖所示：

被這些IP攻擊的裝置地址有35萬個，主要位於美國（48.5%），地域分佈如下圖所示：

其中位於境內的被攻擊的IP地址有1萬5409個，主要位於臺灣（32.2%）、香港（18.8%）、浙江（13.5%）、北京（11.1%）、廣東（6.3%），省市分佈如下圖所示：

四、FreakOut IoC

Sha256:

C&C：

關於網路安全應急技術國家工程實驗室   

CNCERT網路安全應急技術國家工程實驗室是於2013年由發改委批覆成立的、由國家網際網路應急中心（CNCERT）運營的國家級實驗室。實驗室致力於物聯網及工控網安全領域的基礎理論研究、關鍵技術研發與實驗驗證，開展物聯網及工控網相關的安全監測、態勢感知、資訊通報與應急處置工作，向政府主管部門和行業使用者提供威脅情報共享、態勢資訊通報等服務，為國家關鍵基礎設施的建設和執行提供網路安全保障。

關於伏影實驗室   

伏影實驗室專注於安全威脅與監測技術研究。 研究目標包括殭屍網路威脅，DDoS對抗，WEB對抗，流行服務系統脆弱利用威脅、身份認證威脅，數字資產威脅，黑色產業威脅及新興威脅。透過掌控現網威脅來識別風險，緩解威脅傷害，為威脅對抗提供決策支撐。