典型攻击链

本年度,伏影实验室根据 CNCERT物联网
威胁情报平台及绿盟威胁识别系统监测数据,在检测僵尸 网络威胁与网络攻击事件时发现,Mirai 变种 Fetch 家族使用了最新的攻击链进行攻击。而在发现该攻 击事件的前 3 个小时左右,国外论坛才刚刚披露相关利用。这足以说明:僵尸网络运营者的情报转化能 力已经远远超出防御方的固有认知。因此本节将 Fetch 家族利用的两条攻击链作为年度攻击事件进行介绍。CVE-2020-12109 与 CVE-2020-12110
Fetch 家族使用了两个已知漏洞 CVE-2020-12109 和 CVE-2020-12110。 该利用链的流程如下:

  1. 先使用 payload:POST /login.fcgi 进行默认口令登录认证绕过。
  2. 再发送 payload:POST /setbonjoursetting.fcgi 和 POST /setsysname.fcgi(CVE-2020-12109)
    进行命令执行。
    此外,攻击者结合 CVE-2020-12110,可解密 FTP 服务器
    密码、PPPoE 用户名密码、SMTP 服务用 户名密码以及 DDNS用户名密码。


图 4 漏洞利用链代码片段
在该样本被发现之前,仅有人发布 CVE-2020-12109 漏洞的 POC 信息以及漏洞原理的简要分析, 并未完全指出漏洞的利用思路。此次披露的攻击链可以结合 CVE-2020-12110 硬编码加密密钥漏洞组合 使用,获取敏感数据,其公布时间与 CVE-2020-12109 相同。
CVE-2019-6971 与 CVE-2017-13772
除使用新披露的攻击链之外,Fetch 家族还使用了一个已知的攻击链,该攻击链在 2017 年 10 月被 公布,且附带详细的漏洞利用代码及原理分析。
该利用链影响平台有:TP-Link WR940N WiFi 路由器
,硬件版本为 4。9
该利用链利用流程如下:

  1. 先使用 payload 进行登录认证绕过。
    Get /userRpm/LoginRpm.html
    (CVE-2019-6971 TP-Link TL-WR1043ND 2 - Authentication Bypass 漏洞)
  2. 再发送 payload,GET /userRpm/PingIframeRpm.htm(CVE-2017-13772)进行命令执行。

    图 5 漏洞利用链代码片段
    此漏洞利用链也是第一次在 Mirai 系列的恶意家族中发现,此前并未有人详细描述这类攻击链具体 利用代码。这表明,在 GitHub 或 MSF 平台公布的漏洞利用链均会被攻击者直接获取,快速转化为利用 代码并部署。

僵尸网络 DDoS 攻击活动分析

2020 年,伏影实验室 bothunter 监控系统发现了超过百万的 DDoS 攻击指令数和超过 16 万起攻击 事件。在监测过程中发现,DDoS活动具有周期性,存在低谷期和高峰期。该现象可能与本年度“净网” 活动相关:2020 年 4 月起,公安部
网络安全保卫局启动“净网 2020”专项行动,严厉打击网络犯罪活 动,下图亦显示了 4 月以后 DDoS 攻击活动的下降趋势。7 月,在网络犯罪活动再次抬头的情况下,公安部持续进行“净网行动 ”,再次打击了犯罪活动,DDoS 攻击事件量逐步下降,再次遏制了网络犯罪 活动的抬头倾向。
DDoS 攻击活动的攻击目标分布于世界各地,而中国和美国则是重灾区,这与我们前几年的监控数 据基本一致。
图 7 DDoS 攻击目标国别分布

在攻击方法上来看,利用 UDP、TCP、慢速攻击仍然是僵尸网络进行 DDoS 攻击的主要手段。

年度重点家族盘点―物联网与跨平台僵尸网络家族

本章节将介绍伏影实验室
一直以来投入大量精力监控和分析的僵尸网络家族,在疫情期间,尽管这 些家族的活度或多或少受到了影响,但仍然是网络世界中传播范围最广和影响最大的僵尸网络家族 族群。### 新兴僵尸网络家族
本年度,根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据,Mozi、Bigviktor、 GoBrut 等新兴 IoT 僵尸网络木马家族因其活度高,技术新颖,成为重点观测对象。这些新型木马有 的采用了全新的通信模式,有的吸收了其他平台木马使用的反侦测手段,有的则转变了攻击方式和主要 攻击目标。

Pink

疫情期间,绿盟科技的威胁捕获系统捕获到了一个针对家用 IoT 设备某品牌的家庭网关进行网络劫 持攻击的恶意软件 pink。通过对家庭网关的分析,可知攻击者的开发攻击套件实现了流量转发、HTTP 流量劫持与修改和广告页嵌入的功能。

  • 本案例是首次在家用 IoT 设备中发现进行广告劫持的恶意软件家族;
  • 案例中涉及的漏洞为软件 0 day;
  • 攻击者使用了 tmpfs 用于删除指定文件,该手段在 IoT 家族中极为少见;
  • 攻击者使用的广告劫持技术是目前正在使用的较成熟技术,并非是新技术;
  • 攻击者对家用网关及其控制与维护方法非常熟悉;
  • 本次事件中发现的恶意组件并非其所有的感染模块,而攻击者目前已经静默。
  • 攻击者使用 iptables+netfilter 的组合拳对进行流程劫持修改,继续开发则可以使用中间人攻击 的方式获取用户的通信记录,用户名密码等高敏感度信息。

Mozi

2019 年底出现的 Mozi 僵尸网络木马,在 2020 年前两季度迎来了快速增长。
物联网平台僵尸网络发展至今,控制者已不再满足于基于 TCP 的传统模式,开始探索高隐匿性的 网络模型。作为物联网僵尸网络在 P2P 方向延伸的代表,Mozi 木马使用 DHT协议组成网络结构,并在 DHT网络内部构建 Mozi-DHT僵尸网络。自 19 年被发现以来,Mozi 至今依然在扩大其规模。经过跟踪 分析,今年一季度以来 Mozi 的日均可探索节点已经超过了 10000 个,占据了整个 DHT网络规模的 1% 以上,这表明 Mozi 已发展成为中等规模的僵尸网络,可以对世界范围内的目标尤其是国内的网络节点 发动有威胁的攻击。
从代码构成来看,Mozi 木马并非独立开发,程序的持久化模块和攻击模块复用了一部分 Gafgyt 及 其变种的代码,其功能包括重命名实例、监视 watchdog、添加 iptables 规则等,并支持 UDP、TCP、 HTTP 等常规 DDoS 攻击方式。
Mozi 的传播部分同样使用了常见的方案,对随机或指定的 ip 地址,使用漏洞与 telnet 弱口令爆破 进行攻击,其常用漏洞载荷可实现对 Netgear、Realtek、DLink、Huawei、GPON、Vacron、Zyxel 等厂 家特定型号 IoT 设备的入侵。
下图展示了某 Mozi 节点从加入 DHT网络到执行攻击者指令的过程:

伏影实验室分析发现,Mozi 僵尸网络主要根据地为东亚、欧洲和北美洲,澳大利亚和巴西等国也 有些许分布。中国境内探测到的 Mozi 节点占总数的 25.3%,是 Mozi 僵尸网络的最大来源,而数量第 二的美国占比为 10.3%,第三名的韩国为 7.9%。欧洲区域节点则集中在俄罗斯、德国、法国和波兰等国。 此外,由于 Mozi 的特殊网络模式,其节点分布离散度极大,与传统僵尸网络集中于网络发达地区的普 遍规律截然不同。
Mozi 节点的全球热点分布如下图:

此外,国内某节点的流量数据显示,一季度 IoT 网络漏洞扫描流量的 96% 都由 Mozi 节点发出,这 说明 Mozi 网络仍然处在积极扩张期,致力于控制更多物联网设备。
由于基于 P2P 的网络模式,Mozi 将比传统僵尸网络更难检测和治理。鉴于 Mozi 使用了物联网僵尸 网络的常见传播方式,其最终可能会发展到与 Mirai 与 Gafgyt 等知名僵尸网络同等的规模。

参考资料

绿盟 2020 DDoS攻击态势报告

友情链接

GA 38–2021 银行安全防范要求

僵尸网络 DDoS 攻击活动分析相关推荐

  1. Mirai僵尸网络+DDoS 攻击+常用端口号大全

    21/tcp FTP 文件传输协议 22/tcp SSH 安全登录.文件传送(SCP)和端口重定向 23/tcp Telnet 不安全的文本传送 25/tcp SMTP Simple Mail Tra ...

  2. 2016年DDoS攻击趋势分析报告

    2015年,DDoS攻击已经成为最引人注目的.受到黑客欢迎的攻击方式.如今,正如同死亡和税收一样,DDoS攻击成为企业需要长期面临的严峻挑战. 根据最新的统计数据显示,2016年以来,无论是DDoS攻 ...

  3. 走近科学:揭秘在线DDoS攻击平台

    注:本文主张交流与科研学习,请勿对该技术进行恶意使用!本平台及作者对读者的之后的行为不承担任何法律责任. 简介 DDOS攻击也叫做分布式拒绝服务攻击,其英文全称为Distributed Denial ...

  4. 对 VoIP 提供商的大规模 DDoS 攻击和模拟 DDoS 测试

    VoIP.ms 和其他 VoIP 提供商受到 DDoS 攻击 在撰写本文时,一个名为 VoIP.ms 的主要 VoIP 提供商受到分布式拒绝服务 (DDoS) 攻击一个多星期以来.结果,他们无法为他们 ...

  5. DDoS 攻击与防护(一):如何识别 DDoS 攻击?DDoS 防护 ADS 服务有哪些?

    文章目录 前言 一.什么是 DDoS 防护 ADS? 1.1.什么是 DDoS 攻击? 1.2.如何识别 DDoS 攻击? 1.3.从 Web 访问流程分析 DDoS 攻击 1.4.DDoS 攻击类型 ...

  6. 如何防御DDoS攻击器抓取肉鸡呢?只需要注意这几点即可!

    对计算有一些了解的朋友可能都会知道DDoS是一种互联网最普及的攻击方式,也是一些黑客的初级入门的技巧,每一次进行大规模的DDoS的攻击,那打出来的流量都让人咂舌.动静大而且波及极为广阔,DDoS要的就 ...

  7. 浅析防御僵尸网络基于应用层的DDOS攻击

    近期数据显示,针对应用层的DDOS攻击有加速的趋势.据预测,基于应用层的DDOS攻击每年以三倍的速度增长,Gartner预测DDOS攻击会占2013年所有的应用层攻击中的25%左右.研究指出,黑客现在 ...

  8. Chalubo僵尸网络来袭 IOT设备或将受到DDoS攻击

    根据Sophos Labs报告称,一种新的恶意软件正在瞄准物联网(IoT)设备,企图将它们陷入能够发起分布式拒绝服务(DDoS)攻击的僵尸网络中. 该恶意软件被称为 Chalubo (ChaCha-L ...

  9. 僵尸网络之如何防护DDoS攻击,愿这个世界再无黑产

    *严正声明:本文仅限于技术讨论与分享,严禁用于非法途径. 大家好,最近看到国外有一篇和僵尸网络有关的文章,今天分享给各位. 当然,我们面对DDoS当然是可以防御的,就比如云清洗.我写这篇文章的目的是为 ...

  10. AVTECH摄像监控存漏洞 可被控组建僵尸网络发起DDoS攻击

    概述 近年来,利用物联网设备(IoT)漏洞攻击的案例正日益增多.近日,腾讯安全御见威胁情报中心联合知道创宇捕获一例利用Avtech摄像监控等IoT设备漏洞(CNVD-2016-08737)进行入侵的攻 ...

最新文章

  1. python数组对应元素相乘_python的几种矩阵相乘的公式详解
  2. ALL ABOUT CIRCUITS 的资源整理
  3. hdu 1418 抱歉 (欧拉公式)
  4. JavaScript 是传值调用还是传引用调用?
  5. 从IC设计来看Trace32的用途
  6. mppt多峰追踪MATLAB仿真,基于光伏功率等效面积法的多峰最大功率追踪控制方法...
  7. python发邮件详解_python实现发送邮件详解
  8. hive遍历_Hive解析流程-抽象语法树生成
  9. 华为机试HJ33:整数与IP地址间的转换
  10. 填表法解“银行家算法”问题
  11. 封装一个cookie
  12. 学有小成-php基础语法-06
  13. 网络蜘蛛C#开源示例
  14. 测绘——利用CASS及数据库批量导出/修改/更新地籍信息
  15. windows下安装redis详细教程
  16. 使用支付宝小程序input组件的坑
  17. android 图片背景模糊,实现图片模糊(背景虚化),实现图片模糊背景
  18. 刘帅嵌入式系统-ORR逻辑或操作指令
  19. 深入理解DNS(域名系统)
  20. Fxfactory插件:复古电影调色插件Sheffield Softworks Vintage

热门文章

  1. vue 停止页面滚动_Vue关于滚动停止的监听方法
  2. 爬取王者荣耀网站所有英雄皮肤图片
  3. 百度Web App在线生成平台Site App体验
  4. c++win32项目 如何显示后再删除一个绘图_Golden Software Surfer(三维绘图软件) 中文版分享...
  5. 406个银英稀有精英名称
  6. 他是年薪几十万的微软工程师,现在却在成都街头收破烂......
  7. html如何制作正方体手工图,数学手工立体图形
  8. 北京最好的商标律师解析商标侵权的处罚规定
  9. Vue基础知识总结 11:前端路由vue-router
  10. (四)深度学习入门之对图像进行简单分类(cifar10数据集)