2020 Botnet趋势报告.pdf_报告吧baogao8.com-

资源描述

绿盟科技威胁情报中心绿盟科技伏影实验室网络安全应急技术国家工程实验室 BOTNET趋势报告 2020 版权声明为避免合作伙伴及客户数据泄露，所有数据在进行分析前都已经过匿名化处理，不会在中间环节出现泄露，任何与客户有关的具体信息，均不会出现在本报告中。关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年 4 月，总部位于北京。公司于2014年1月29日起在深圳证券交易所创业板上市，证券代码： 300369。绿盟科技在国内设有40多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。关于CNCER T网络安全应急技术国家工程实验室 CNCERT网络安全应急技术国家工程实验室是于2013年由发改委批复成立的、由国家互联网应急中心（CNCERT）运营的国家级实验室。实验室致力于物联网及工控网安全领域的基础理论研究、关键技术研发与实验验证，开展物联网及工控网相关的安全监测、态势感知、信息通报与应急处置工作，向政府主管部门和行业用户提供威胁情报共享、态势信息通报等服务，为国家关键基础设施的建设和运行提供网络安全保障。 I 2020 BOTNET趋势报告目录 CONTENTS 目录 CONTENTS 1.历史漏洞回顾4 1.1漏洞数量逐年显著增长4 1.2漏洞数量逐年显著增长5 1.2.1漏洞数量逐年显著增长8 1.2.2漏洞数量逐年显著增长9 2.漏洞利用情况4 2.1典型漏洞攻击事件监测举例4 2.2实际攻击中常用到Nday漏洞5 3.漏洞发展趋势4 3.1浏览器漏洞种类复杂多样4 3.2文档类型漏洞是鱼叉攻击的重要载体5 摘要2 执行摘要 .1 年度图谱国内外僵尸网络威胁全景 .3 漏洞利用状况分析 . 4 典型攻击链 . 8 僵尸网络 DDoS 攻击活动分析 . 10 年度重点家族盘点物联网与跨平台僵尸网络家族 .13 新兴僵尸网络家族 . 14 Pink. 14 Mozi. 15 Bigviktor. 17 GoBrut. 19 传统僵尸网络家族 . 22 Mirai. 22 Gafgyt. 25 Dofloo. 27 年度重点家族盘点PC 僵尸网络家族 .31 新兴邮件木马家族 . 32 AgentTesla. 32 MazeRansom. 34 BitRAT. 36 COVID-19 与传统邮件僵尸网络家族 . 36 Emotet. 36 NetWire. 38 SmokeLoader. 39 Trickbot. 40 2020 BOTNET趋势报告 II 目录 CONTENTS 高级威胁攻击APT 事件 .44 2020 年 APT 组织活跃情况及其技术更新 . 45 MpSvc 侧载攻击：海莲花入侵新攻击方法. . 45 MATA.跨平台新框架：Lazarus 的技术更新 . 46 邮件也成为 C&C 信道：OilRig 的新隐匿技巧 . 46 HTML 重定向感染：TA505 新手段 . 46 USBWorm 混淆视听：Transparent.Tribe 新感染组件 . 47 未来展望僵尸网络发展趋势预测 .48 1 2020 BOTNET趋势报告执行摘要执行摘要在过去的一年中，世界遭受了新冠疫情的袭击，生产生活受到了极大的影响。但在网络世界中，僵尸网络作为多年来的主要威胁形式之一，并未受到疫情的影响，反而更加活跃。今年，绿盟科技和国家互联网应急中心（ CNCERT）联合发布僵尸网络威胁年报，旨在全方位展示 2020年度僵尸网络威胁发展情况，深度挖掘僵尸网络威胁事件。一月初，伏影实验室首次在 IoT家用设备中发现以流量劫持为主要攻击手段的僵尸网络木马家族 Pink，其主要利用广告植入技术，进行非法牟利。从二月开始，国际黑产团伙利用 COVID-19相关信息为诱饵，制作钓鱼邮件，肆意传播僵尸网络木马，发动此类攻击的代表性邮件僵尸网络有 Emotet、 NetWire等。与此同时，沉寂许久的 Trickbot、 Necurs 家族卷土重来，投递大量与疫情、工作岗位招聘、欺诈链接等内容有关的恶意邮件。本年度， DDoS僵尸网络家族活动依然以 Mirai和 Gafgyt为代表的传统 IoT木马家族为主导。这些传统 IoT木马以增加新型漏洞及通信控制方式为手段，发展新型变种。在这种迭代的过程中，产生了 Mozi和 BigViktor等新型 IoT 木马，进一步加剧了 DDoS僵尸网络的内斗态势。僵尸网络在横向移动方面的探索愈加深入，在漏洞利用方面逐渐具备了 “当天发现，当天利用” 的能力。以 Mirai僵尸网络木马变种 Fetch为例，运营该变种的黑产团伙已经具备快速武器化能力，能够第一时间获取新公布的漏洞利用代码并将其组合至木马程序中。这种高效的响应和利用能力极大提高了黑客对维护不及时的物联网设备的入侵效率。僵尸网络在对抗性方面也展现出了发展与变化。由于网络管理者近年来大量使用蜜罐设备进行僵尸网络的探测和识别工作，使得攻击者开始针对一些开源的蜜罐进行分析并采取反制策略。在这一趋势下，一些黑客定制了 Aisuru等 Mirai变种木马，以检测蜜罐环境。在控制协议方面，僵尸网络家族加速向 P2P控制结构转变。今年，我们追踪了以 Mozi为代表的使用 P2P协议的家族。 Mozi家族通过使用“认证证书”的形式对加入的节点进行身份校验，同时对通信流程和通信内容加密，提高了僵尸网络的隐匿度和顽固程度。伏影实验室在追踪和检测僵尸网络的活动中，发现了一些 APT组织的活动痕迹，通过对 APT组织的追踪和研判，发现 APT组织在 2020年更新了一系列工具及技术。在这些新技术和工具中最为突出的 2020 BOTNET趋势报告 2 执行摘要年度图谱国内外僵尸网络威胁全景 1 是侧载攻击、利用邮件作为 C2信道的攻击手法，以及一个新的 MATA恶意软件框架，可以针对所有设备平台生成攻击工具。通过对 2020年僵尸网络发展趋势的梳理，我们认为，僵尸网络运营者已经能够将威胁情报、开源社区情报快速转化为攻击手段，逐步扩大攻击、防御的时间差与信息差，通过快速部署和迭代，持续提升对互联网设备和用户的威胁能力。 3 2020 BOTNET趋势报告年度图谱国内外僵尸网络威胁全景年度图谱国内外僵尸网络威胁全景年度图谱国内外僵尸网络威胁全景 1 2020 BOTNET趋势报告 4 年度图谱国内外僵尸网络威胁全景本年度， Windows、Linux 和 IoT三大平台依然是僵尸网络木马的重要活动空间。各家族及变种在基本代码框架早已确定的基础上，其更新频繁集中于完善攻击链和横向传播机能上。这一点在 IoT僵尸网络家族上表现得尤为明显，大量 Nday漏洞的使用极大丰富了它们的横向传播手段，而越来越多复杂的漏洞利用链则侧面体现了僵尸网络控制者技术能力的升级。漏洞利用状况分析 IoT环境仍然是各类漏洞攻击的重灾区，且攻击用到的漏洞年代跨度相对较长。造成这种局面的原因是多方面的：首先是 IoT设备往往运行在物联网环境下，且长期缺乏人为干预，使得攻击者有机可乘且不易被用户察觉。其次，IoT 厂商众多，技术水平和设备质量参差不齐。而 IoT设备是比较复杂的设备，往往包含网络连接、数据连接、数据处理、智能应用等多种不同的技术，分别存在不同程度的安全风险，比如可能使用到不安全的网络协议、云服务或者提供不安全的软件更新，认证强度不够及缺乏足够安全可靠的 Web组件等。再次，IoT 设备用户很少修改初始用户名和口令，导致弱口令成为重大风险。最后，当漏洞出现时，一些 IoT设备的漏洞修补操作相对复杂，导致用户几乎不会主动对 IoT设备进行升级。而另一方面，很多设备更新时并未实现完整性校验，无法确保更新内容的安全性。根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据，本年度 IoT僵尸家族的恶意载荷漏洞利用种类个数再次超过 100，占比情况与往年类似，仍以 CVE-2017- 17215（Huawei HG532 命令注入漏洞）、 CVE-2014-8361（Realtek rtl81xx SDK 远程代码执行漏洞）和 ThinkPHP远程命令执行漏洞为主。 5 2020 BOTNET趋势报告年度图谱国内外僵尸网络威胁全景图 1IoT 平台恶意载荷携带漏洞利用占比 ( 数据来源：CNCERT) 根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据，本年度排名前 20的漏洞利用信息以及受影响的厂商设备或组件如下：表 1IoT 平台热点漏洞与设备 / 组件对应漏洞名称受影响设备或组件 CVE-2017-17215 华为 HG532 产品 CVE-2014-8361 Realtek rtl81xx SDK ThinkPHP 5.X Remote Command Execution ThinkPHP 5.0.23/5.1.31 CVE-2018-10561 GPON家用光纤路由器 Linksys E series Unauthenticated Remote Code Execution Linksys多款路由器设备 ZyXEL P660HN T v1 ViewLog asp privilege escalation ZyXEL P660HN-T路由器 JAWS Webserver unauthenticated shell command execution JAWS Webserver Eir D1000 Wireless Router WAN Side Remote Command Injection Eir D1000 无线路由器 D-Link DSL Devices login cgi Remote Command Execution D-link DSL 网络设备 Netlink GPON Router 1.0.11 Remote Code Execution Netlink GPON 路由器 2020 BOTNET趋势报告 6 年度图谱国内外僵尸网络威胁全景漏洞名称受影响设备或组件 CVE-2015-2051 D-Link DIR-645 有线无线路由器 CVE-2020-10173 康全电讯路由器 CVE-2018-17173 LG webOS的内容管理系统 Symantec Web Gateway 5.0.2.8 Remote Code Execution Symantec_Web_Gateway AVTECH IP Camera NVR DVR Devices Multiple Vulnerabilities AVTECH视频设备 CCTV-DVR Remote Code Execution CCTV-DVR视频设备 Netgear DGN1000 1.1.00.48 Setup cgi Remote Code Execution 网件 DGN1000路由器 CVE-2016-6277 网件多款路由器 Zyxel P660HN Remote Command Execution Zyxel_P660HN Vacron NVR RCE Vacron网络视频设备 CVE-2020-5722 Grandstream UCM6200企业级交换机同时，根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据，虽然受活跃度等因素影响，但是漏洞利用和受影响设备总体上与恶意载荷一致，受影响较大的设备或组件主要为 Realtek SDK、 JAWS DVR、网件路由器和华为 HG532路由器。图 2IoT 平台流量检测漏洞利用占比（续表） 7 2020 BOTNET趋势报告年度图谱国内外僵尸网络威胁全景此外，本年度也检测到大量新增漏洞的利用。根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据，在针对 IoT设备的攻击活动中，对于新增漏洞，僵尸网络组织往往能以较快的速度将其利用起来，这对安全团队的响应速度也提出了高要求。部分新增 CVE如下表所示：表 2IoT 平台部分新增漏洞 CVE编号受影响设备或组件 CVE-2020-10173 Comtrend VR-3033 CVE-2020-5722 Grandstream UCM6200 CVE-2020-8515 DrayTek企业级路由器 CVE-2020-7209 LinuxKI v6.0-1 CVE-2020-9054 ZyXEL NAS设备 CVE-2020-13782 D-Link DIR-865L Ax 1.20B01 Beta CVE-2020-5902 BIG-IP CVE-2020-8218 Pulse Connect Secure CVE-2020-10987 Tenda AC系列路由器 CVE-2020-3657 Google Android Qualcomm闭源组件 CVE-2020-12109 TP-Link NC220 CVE-2020-9484 tomcat session CVE-2020-17456 Seowon SLC-130、SLR-120S 路由器随着疫情爆发，远程办公等办公场景兴起，利用钓鱼邮件传播僵尸网络木马仍然值得警惕，而大部分钓鱼邮件通常会附带恶意诱饵文档，实现攻击活动。通过对本年度文档类恶意代码的漏洞利用统计，可以发现公式编辑器漏洞 CVE-2017-11882仍然是出现频率最高的漏洞，该漏洞几乎影响到所有流行的 Office版本，微软已经在 2017年 11月发布安全补丁。该漏洞存在于公式编辑器 Equation Editor 中，潜伏多年，属于典型的栈溢出漏洞。 2020 BOTNET趋势报告 8 年度图谱国内外僵尸网络威胁全景图 3文档类恶意载荷 CVE 漏洞利用占比典型攻击链本年度，伏影实验室根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据，在检测僵尸网络威胁与网络攻击事件时发现， Mirai变种 Fetch家族使用了最新的攻击链进行攻击。而在发现该攻击事件的前 3个小时左右，国外论坛才刚刚披露相关利用。这足以说明：僵尸网络运营者的情报转化能力已经远远超出防御方的固有认知。因此本节将 Fetch家族利用的两条攻击链作为年度攻击事件进行介绍。 CVE-2020-12109与CVE-2020-12110 Fetch家族使用了两个已知漏洞 CVE-2020-12109和 CVE-2020-12110。该利用链的流程如下： 1.先使用 payload：POST /login.fcgi 进行默认口令登录认证绕过。 2.再发送 payload：POST /setbonjoursetting.fcgi 和 POST /setsysname.fcgi（CVE-2020-12109 ）进行命令执行。此外，攻击者结合 CVE-2020-12110，可解密 FTP服务器密码、 PPPoE用户名密码、 SMTP服务用户名密码以及 DDNS用户名密码。 9 2020 BOTNET趋势报告年度图谱国内外僵尸网络威胁全景图 4漏洞利用链代码片段在该样本被发现之前，仅有人发布 CVE-2020-12109漏洞的 POC信息以及漏洞原理的简要分析，并未完全指出漏洞的利用思路。此次披露的攻击链可以结合 CVE-2020-12110 硬编码加密密钥漏洞组合使用，获取敏感数据，其公布时间与 CVE-2020-12109相同。 CVE-2019-6971与CVE-2017-13772 除使用新披露的攻击链之外， Fetch家族还使用了一个已知的攻击链，该攻击链在 2017年 10月被公布，且附带详细的漏洞利用代码及原理分析。该利用链影响平台有：TP-Link WR940N WiFi 路由器，硬件版本为 4。 2020 BOTNET趋势报告 10 年度图谱国内外僵尸网络威胁全景该利用链利用流程如下： 1.先使用 payload 进行登录认证绕过。 Get /userRpm/LoginRpm.html （CVE-2019-6971 TP-Link TL-WR1043ND 2 - Authentication Bypass 漏洞） 2.再发送 payload，GET /userRpm/PingIframeRpm.htm（CVE-2017-13772 ）进行命令执行。图 5漏洞利用链代码片段此漏洞利用链也是第一次在 Mirai系列的恶意家族中发现，此前并未有人详细描述这类攻击链具体利用代码。这表明，在 GitHub或 MSF平台公布的漏洞利用链均会被攻击者直接获取，快速转化为利用代码并部署。僵尸网络 DDoS 攻击活动分析 2020年，伏影实验室 bothunter监控系统发现了超过百万的 DDoS攻击指令数和超过 16万起攻击事件。在监测过程中发现， DDoS活动具有周期性，存在低谷期和高峰期。该现象可能与本年度“净网” 活动相关： 2020年 4月起，公安部网络安全保卫局启动“净网 2020”专项行动，严厉打击网络犯罪活动，下图亦显示了 4月以后 DDoS攻击活动的下降趋势。 7月，在网络犯罪活动再次抬头的情况下，公 11 2020 BOTNET趋势报告年度图谱国内外僵尸网络威胁全景安部持续进行“净网行动 ”，再次打击了犯罪活动， DDoS攻击事件量逐步下降，再次遏制了网络犯罪活动的抬头倾向。图 6年度 DDoS 攻击活动趋势 DDoS攻击活动的攻击目标分布于世界各地，而中国和美国则是重灾区，这与我们前几年的监控数据基本一致。图 7DDoS 攻击目标国别分布 2020 BOTNET趋势报告 12 年度图谱国内外僵尸网络威胁全景在攻击方法上来看，利用 UDP、TCP 、慢速攻击仍然是僵尸网络进行 DDoS攻击的主要手段。图 8DDoS 攻击类型分布 13 2020 BOTNET趋势报告年度重点家族盘点物联网与跨平台僵尸网络家族年度重点家族盘点物联网与跨平台僵尸网络家族年度重点家族盘点物联网与跨平台僵尸网络家族 2 2020 BOTNET趋势报告 14 年度重点家族盘点物联网与跨平台僵尸网络家族本章节将介绍伏影实验室一直以来投入大量精力监控和分析的僵尸网络家族，在疫情期间，尽管这些家族的活跃度或多或少受到了影响，但仍然是网络世界中传播范围最广和影响最大的僵尸网络家族族群。新兴僵尸网络家族本年度，根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据， Mozi、Bigviktor、 GoBrut等新兴 IoT僵尸网络木马家族因其活跃度高，技术新颖，成为重点观测对象。这些新型木马有的采用了全新的通信模式，有的吸收了其他平台木马使用的反侦测手段，有的则转变了攻击方式和主要攻击目标。 Pink 疫情期间，绿盟科技的威胁捕获系统捕获到了一个针对家用 IoT设备某品牌的家庭网关进行网络劫持攻击的恶意软件 pink。通过对家庭网关的分析，可知攻击者的开发攻击套件实现了流量转发、 HTTP 流量劫持与修改和广告页嵌入的功能。图 9IoT 设备劫持攻击流程 15 2020 BOTNET趋势报告年度重点家族盘点物联网与跨平台僵尸网络家族本案例是首次在家用 IoT设备中发现进行广告劫持的恶意软件家族；案例中涉及的漏洞为软件 0 day；攻击者使用了 tmpfs用于删除指定文件，该手段在 IoT家族中极为少见；攻击者使用的广告劫持技术是目前正在使用的较成熟技术，并非是新技术；攻击者对家用网关及其控制与维护方法非常熟悉；本次事件中发现的恶意组件并非其所有的感染模块，而攻击者目前已经静默。攻击者使用 iptables+netfilter的组合拳对进行流程劫持修改，继续开发则可以使用中间人攻击的方式获取用户的通信记录，用户名密码等高敏感度信息。 Mozi 2019年底出现的 Mozi僵尸网络木马，在 2020年前两季度迎来了快速增长。物联网平台僵尸网络发展至今，控制者已不再满足于基于 TCP的传统模式，开始探索高隐匿性的网络模型。作为物联网僵尸网络在 P2P方向延伸的代表， Mozi木马使用 DHT协议组成网络结构，并在 DHT网络内部构建 Mozi-DHT僵尸网络。自 19年被发现以来， Mozi至今依然在扩大其规模。经过跟踪分析，今年一季度以来 Mozi的日均可探索节点已经超过了 10000个，占据了整个 DHT网络规模的 1% 以上，这表明 Mozi已发展成为中等规模的僵尸网络，可以对世界范围内的目标尤其是国内的网络节点发动有威胁的攻击。从代码构成来看， Mozi木马并非独立开发，程序的持久化模块和攻击模块复用了一部分 Gafgyt及其变种的代码，其功能包括重命名实例、监视 watchdog、添加 iptables规则等，并支持 UDP、TCP 、 HTTP等常规 DDoS攻击方式。 Mozi的传播部分同样使用了常见的方案，对随机或指定的 ip地址，使用漏洞与 telnet弱口令爆破进行攻击，其常用漏洞载荷可实现对 Netgear、Realtek 、DLink、Huawei 、GPON 、Vacron、Zyxel 等厂家特定型号 IoT设备的入侵。下图展示了某 Mozi节点从加入 DHT网络到执行攻击者指令的过程： 2020 BOTNET趋势报告 16 年度重点家族盘点物联网与跨平台僵尸网络家族图 10Mozi 木马典型通信流程伏影实验室分析发现， Mozi僵尸网络主要根据地为东亚、欧洲和北美洲，澳大利亚和巴西等国也有些许分布。中国境内探测到的 Mozi节点占总数的 25.3%，是 Mozi僵尸网络的最大来源，而数量第二的美国占比为 10.3%，第三名的韩国为 7.9%。欧洲区域节点则集中在俄罗斯、德国、法国和波兰等国。此外，由于 Mozi的特殊网络模式，其节点分布离散度极大，与传统僵尸网络集中于网络发达地区的普遍规律截然不同。 Mozi节点的全球热点分布如下图：图 11Mozi 僵尸网络全球热点分布 17 2020 BOTNET趋势报告年度重点家族盘点物联网与跨平台僵尸网络家族此外，国内某节点的流量数据显示，一季度 IoT网络漏洞扫描流量的 96%都由 Mozi节点发出，这说明 Mozi网络仍然处在积极扩张期，致力于控制更多物联网设备。由于基于 P2P的网络模式， Mozi将比传统僵尸网络更难检测和治理。鉴于 Mozi使用了物联网僵尸网络的常见传播方式，其最终可能会发展到与 Mirai与 Gafgyt等知名僵尸网络同等的规模。 Bigviktor 2020年 6月，绿盟科技伏影实验室威胁捕获团队，根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据，检测到数例针对 DrayTek Vigor路由器的漏洞利用入侵事件，并确定此传播利用了 CVE-2020-8515漏洞。根据捕获的流量，在攻击 payload在执行过程中，还触发了大量疑似 DGA的流量。经深入分析，我们发现这是一款全新的僵尸网络木马，可进行 DDoS攻击及自更新。功能方面，该木马仍采用了传统的 DDoS攻击模式，但作者未完成所有的功能设计，部分攻击指令对应模块为空，为未来扩展做下铺垫。图 12BigViktor 主要 C&C 通信流程 Bigviktor通过 RC4解密内置的 DGA词组字典，实现与 C&C的通信。经解密，我们发现其词组包含了 100个动词 (Verb)、 1522个名词 (Noun)、 525个形容词 (Adj)、 40个前缀 (Prefix)和 20个后缀 (Suffix)，最终形成的域名格式为 Prefix.Verb-Adj-Noun.Suffix。 2020 BOTNET趋势报告 18 年度重点家族盘点物联网与跨平台僵尸网络家族表 4Bigviktor DGA 算法关键词一览 Verb Noun Adj Prefix Suffix be a able cam art have ability acceptable video click do abroad according x club say abuse accurate a com go access action fans get accident active ftp futbol make account actual ssl in know act additional tftp info think action administrative 1 link take active adult 2 net see activity afraid noc nl come actor after smtp observer want ad afternoon pop one look addition agent ssl org use address aggressive secure pictures find administration ago images realty give adult airline th rocks tell advance alive img tel work advantage all download top call advertising alone mail xyz try advice alternative remote DGA域名需要 key经过简单运算并拼接来组成， key来自于访问 RC4解密后的特定网址所获得的日期（格式为 %b %Y 00:00）经 SHA256运算后的前 4字节。 19 2020 BOTNET趋势报告年度重点家族盘点物联网与跨平台僵尸网络家族表 5 用于获得时间 KEY 的特定网站一览 twitch.tv yandex.ru en.wikipedia craigslist merriam- 因此可知，每个月产生的 DGA域名都是不同的，且数量达到千余条。通过如此伪装，僵尸网络的实际控制者能够相对有效的逃避域名检测以延长控制服务器的生存周期。与多数 IoT僵尸网络不同， BigViktor 在通过请求有效 C&C的通信过程中遵循了零信任的原则。为保证传输内容不被伪造和不被窃取，该家族使用了 ECDSA256算法进行数字签名，若签名验证通过，相关标志位满足，且解密的 C&C与所请求 C&C一致，方可进入下一步流程。整体而言在 Bigviktor中，我们发现：僵尸网络的发展模式，正逐渐由功能完善再投递转变为横向传播探测优先，且具体功能由后期补充。这种模式依赖于僵尸网络的持久性，如果长期难以被摧毁，则攻击者便可持续蛰伏，为扩展其功能留出额外时间。而 DGA这一特性恰好满足这一需求，其藏木于林的特性使得 C&C难以被封堵。通信模式由明文转变为加密传输再至加密 +验证。僵尸网络的控制者和恶意家族的开发者在对抗过程中，不断提高通讯协议分析的门槛，或许久被安全研究人员的傀儡探针所困扰，不得不将其手段上升到验证数据签名以确保自己在网络中拥有有绝对的控制权。 GoBrut Gobrut家族在 2019年年初被发现，主要用于对指定目标进行扫描并实施暴力破解登录。该家族木马自身和云端 C&C均由 Golang语言编写，由云端全权生成海量且随机的暴破目标和弱口令，并由各个肉鸡拉取到本地进行登录尝试，由此形成一个类似分布式的暴力破解僵尸网络。 2020年，根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据，该家族依然活跃，版本不断迭代，但行事低调。从 2019年 11月起至 2020年 10月，该家族仅暴露少量 C&C，大多位于东欧。 2020 BOTNET趋势报告 20 年度重点家族盘点物联网与跨平台僵尸网络家族图 13Gobrut C&C 数量国别分布攻击者在攻破网站后，会植入恶意脚本以下载 Gobrut木马并执行。由于木马功能没有大改，通信格式也未发生变化，加上不易被网站管理人员及时发现，使得旧版木马能继续运行，可与所属相同 C&C 的新版木马活跃共存一段时间。下图展示了这种共存情况：图 14Gobrut 版本迭代时间线一个活跃的 Gobrut云端会在下发扫描指令和暴破指令之间有所切换，或者同时下发这两种指令，以保证可供暴破目标的正常供给，而数量庞大的 WordPress网站则成为该家族的重要目标之一。据不完全统计，在针对 WordPressd网站的指令中，暴破指令占比高达 80%以上，远远超出扫描指令。这体现出 Gobrut分布式的特点，通过相对较少时间获取 WordPress网站域名，然后在多数时间内集中火力进行暴破。 21 2020 BOTNET趋势报告年度重点家族盘点物联网与跨平台僵尸网络家族图 15Gobrut 针对 WordPress 网站的暴破 / 扫描指令占比在受到暴破尝试攻击的网站顶级域名分布中， com占据近一半数量，剩下的部分大多是各个国家的顶级域名，这从某种程度上反映了当今 WordPress网站的分布。图 16受 Gobrut 攻击的 WordPress 网站顶级域名分布 2020 BOTNET趋势报告 22 年度重点家族盘点物联网与跨平台僵尸网络家族此外，该家族还有着一定的子域名搜集能力。伏影实验室发现，在扫描指令给定的目标中，不乏一些超长的多级子域名，最多甚至高达 19级，如下图所示：图 17受到扫描的超长多级子域名这表明攻击者很可能使用了子域名暴破手段来进行子域名挖掘。子域名暴力破解指的是通过自动化枚举的方式来探测某域名拥有的次级域名。由于子域名在渗透中可能成为突破口，所以受到攻击者的青睐。由此可见， Gobrut的控制者在后台拥有较为完善和健全的域名采集和挖掘机制，并利用分布式僵尸网络在海量基数的域名条目中发现脆弱网站，进行非定向的无差别攻击。传统僵尸网络家族本年度， IoT平台的主要威胁依然是以 Mirai、 Gafgyt等为代表的主流僵尸网络家族，同时以 Dofloo 为首的多平台僵尸网络家族也活跃于多种设备环境中。这些木马程序普遍具有出现时间长、变种数量众多、通信模式传统、攻击模式典型等特征。然而，正是这些“土得掉渣”的家族，组成了当今 IoT平台威胁形式的主体。 Mirai 本年度，根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据， Mirai家族无疑是最活跃的 IoT DDoS僵尸网络家族之一。该家族因代码开源而导致大量变种产生，并通过 UPX变形壳进行保护。下表显示了本年度特征比较明显的 Mirai变种： 23 2020 BOTNET趋势报告年度重点家族盘点物联网与跨平台僵尸网络家族表 6Mirai 常见变种与特征变种名称特征 hybridMQ_v2 具备 Mirai初始化代码特征和 Gafgyt攻击代码特征的混合型变种，通信模式与 Gafgyt相同。 mirai_skyline 基于 Mirai原始代码修改，进行若干项修改：输出的内容修改为 SkyLine； C&C地址修改为域名；增加 DNS解析能力；上线信息替换为：0 xBA2224156FAD4049C1F60D；只保留了 TCP flood，HTTP flood 以及 UDP flood三种 DDooS攻击方法。 mirai_joker 基于 Mirai变种 Miori修改，输出内容包含关键字 Joker，上线信息同样进行了文字替换。 mirai_haxers 基于 Mirai变种 Miori修改，替换了漏洞利用代码，并将字符串替换为 haxers。 mirai_miori_v2 基于 Mirai变种 Miori修改，修改了字符串输出，使用了 Gafgyt输出字串进行特征混淆 . mirai_Hustle5k 基于 Mirai原始代码修改，输出内容包含关键字 Hustle5k，其他无改变。 mirai_hito 基于 Mirai原始代码修改，仅替换了加密 key mirai_spider 基于 Mirai原始代码修改，输出内容包含关键字 spider，其他无改变。 mirai_Caligula 基于 Mirai原始代码修改，输出内容包含关键字 Caligula，其他无改变。 mirai_Mukashi 基于 Mirai原始代码修改，调整了 Mirai的代码结构，调整上线信息为：register me。 mirai_Aisuru_2 添加了蜜罐检测。 mirai_Fbot 基于 Mirai变种 Satori修改，增加了区块链 DNS解析非标准 C&C名称。 mirai_Dropbear 基于 Mirai原始代码修改，输出内容包含关键字 dropbear，其他无改变。 mirai_remiixx 基于 Mirai原始代码修改，输出内容包含关键字 dropbear，其他无改变。 mirai_Kurtis 基于 Mirai原始代码修改，输出内容包含关键字 kurtis，其他无改变。由上表可见，本年度 Mirai变种的改变不大，主要集中在 DDoS功能的置换、漏洞利用代码的更新和对抗措施的提升上。此外，部分变种对 C&C基础设施的保护有所加强，其提升体现在两个方面，一是使用域名来替代 IP，二是使用 Tor网络加密 C&C信道。而在对抗性方面， Mirai变种 Aisuru增加了对蜜罐的检测，在触发以下条件时，会向 C&C发送蜜罐的 IP地址及端口： a.设备名称为“LocalHost”； b.设备上的所有服务将于 6月 22日或 6月 23日启动 (“ Jun22 ”或“ Jun23 ”字符串的存在表明存在 Cowrie蜜罐 )； c.存在“richard”字符串 (开源的 Cowrie蜜罐中带有这个用户名 )。 2020 BOTNET趋势报告 24 年度重点家族盘点物联网与跨平台僵尸网络家族除以上改动部分之外，本年度中， Mirai家族在 DDoS活跃度方面相较于去年来说有一定提升，其攻击目标主要集中在游戏行业和通用服务类业务。图 18Mirai 全年攻击目标 Top20 行业分布 Mirai攻击者目前运营模式仍然是 BaaS（botnet as a service），攻击事件均匀分布在 24h内，攻击自动化程度极高。图 19Mirai 全年攻击事件分布 25 2020 BOTNET趋势报告年度重点家族盘点物联网与跨平台僵尸网络家族 Mirai家族的攻击活动在全年波动较大，攻击事件多集中于第三季度，这也是经济活动恢复较快的阶段。根据观测数据来看，Mirai 攻击者发动攻击的频率与社会经济活动息息相关。 Gafgyt 作为老牌开源 DDoS僵尸网络家族， Gafgyt木马变种众多，使用者遍布世界各地。根据 CNCERT 物联网威胁情报平台及绿盟威胁识别系统监测数据，Gafgyt 木马活跃程度仅次于 Mirai家族。目前 Gafgyt主要变种越来越多地融合了其他开源木马家族的代码，以此弥补原始 Gafgyt程序的一些缺陷，包括配置信息外露、持久化能力差等。例如，伏影实验室本年度检测到了大量被命名为 HybridMQ的 Gafgyt变种木马，其二进制文件中包含 Gafgyt木马的基础通信框架， Mirai木马的 C&C 信息保护逻辑，以及来自其他 Gafgyt/Mirai变种的多种 DDoS攻击代码。这样的融合方式在一定程度上增加了

展开阅读全文