信息來(lái)源:FreeBuf
前言
僵尸網(wǎng)絡(luò) Botnet 是指采用一種或多種傳播手段,將大量主機(jī)感染bot程序(僵尸程序)病毒��,從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)����。
攻擊者通過(guò)各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)�����,而被感染的主機(jī)將通過(guò)一個(gè)控制信道接收攻擊者的指令��,組成一個(gè)僵尸網(wǎng)絡(luò)���。之所以用僵尸網(wǎng)絡(luò)這個(gè)名字,是為了更形象地讓人們認(rèn)識(shí)到這類(lèi)危害的特點(diǎn):眾多的計(jì)算機(jī)在不知不覺(jué)中如同中國(guó)古老傳說(shuō)中的僵尸群一樣被人驅(qū)趕和指揮著�����,成為被人利用的一種工具���。
而本文提到的一種最新的僵尸網(wǎng)絡(luò)Mirai變種ECHOBOT�,足足使用了71個(gè)漏洞利用(EXP)����,將對(duì)每一個(gè)資產(chǎn)進(jìn)行漏洞批量掃描,要知道��,半年前還有13個(gè)漏洞并沒(méi)有加入他們的利用庫(kù)中����,這比很多漏洞掃描工具的更新速度還要快�����。
此外還將對(duì)近期披露的關(guān)于網(wǎng)軍與僵尸網(wǎng)絡(luò)合作共贏一事闡述。
ECHOBOT僵尸網(wǎng)絡(luò)
最新的僵尸網(wǎng)絡(luò)參考平底鍋的文章[1]中提及的ECHOBOT最新變種����,從惡意軟件的代碼以及種類(lèi)可見(jiàn),其模塊眾多���,跨多平臺(tái)���,內(nèi)置71個(gè)漏洞利用代碼,其中每個(gè)漏洞利用語(yǔ)句的變量名都代表了每個(gè)漏洞的所攻擊的中間件����。
▲截圖用Hash:b4135621d623676cc021c570aea07964
本著推動(dòng)國(guó)內(nèi)安全廠商對(duì)該僵尸網(wǎng)絡(luò)防護(hù)能力提升的原則,我們搬運(yùn)了平底鍋整理的漏洞利用列表����,僅供參考。
一��、Yachtcontrol-船用電子設(shè)備和船用導(dǎo)航軟件的web服務(wù)器
CVE-2019-17270 掃描端口8081
二�、Technicolor TD5130v2和Technicolor TD5336路由器
CVE-2019-18396 / CVE-2017-14127 掃描端口161
三����、CON6視頻會(huì)議系統(tǒng)存在CON6遠(yuǎn)程執(zhí)行代碼漏洞
四���、Enigma網(wǎng)管系統(tǒng) v65.0.0
CVE-2019-16072
五�����、三菱電機(jī)smartRTU&INEA ME-RTU
CVE-2019-14931
六�、適用于Linux服務(wù)器的Sar2HTML繪圖工具v3.2.1
Sar2HTML遠(yuǎn)程執(zhí)行代碼
七���、NetGain企業(yè)管理系統(tǒng)
CVE-2017-16602
八����、Citrix NetScaler SD-WAN 9.1.2.26.561201設(shè)備
CVE-2017-6316
九�����、Thomson Reuters Velocity Analytics Vhayu Analytic Servers 6.94 build2995
CVE-2013-5912
十����、ACTi ASOC 2200 Web Configurators 2.6及更低版本遠(yuǎn)程執(zhí)行代碼漏洞
十一、3Com OfficeConnect路由器遠(yuǎn)程執(zhí)行代碼
十二����、Barracuda 防垃圾郵件防火墻versions 3.3.x
十三����、CCBill 在線(xiàn)支付系統(tǒng)遠(yuǎn)程代碼執(zhí)行
此外�����,該變種還采用了新的憑據(jù)爆破賬號(hào)����,猜測(cè)某些IOT廠商又設(shè)置了默認(rèn)的“后門(mén)賬號(hào)”����。
僵尸網(wǎng)絡(luò)與網(wǎng)軍合作
從上面這個(gè)案例可見(jiàn),當(dāng)僵尸網(wǎng)絡(luò)部署了大批有效的漏洞武器后����,鑒于全世界范圍內(nèi)很多設(shè)備并沒(méi)有及時(shí)更新的情況下,大批主機(jī)將會(huì)受控�,并且基于受控主機(jī)的基礎(chǔ)上進(jìn)行一步進(jìn)行橫向擴(kuò)展和感染,尤其是一個(gè)僵尸網(wǎng)絡(luò)病毒感染了一臺(tái)內(nèi)網(wǎng)主機(jī)之后����。
那么僵尸網(wǎng)絡(luò)運(yùn)營(yíng)商在獲取了大量的僵尸主機(jī)(肉雞)后�����,他們會(huì)做些什么���?
主要有兩個(gè)方向:
1、通過(guò)肉雞本身盈利�,例如大批量挖礦,或針對(duì)指定目標(biāo)發(fā)起DDOS攻擊斂財(cái)��,服務(wù)器勒索�����。
2�、出售肉雞盈利
這里就要提一下第二個(gè)方向。
如今的一些有攻擊策略的����,擅長(zhǎng)隱藏自身的APT組織(網(wǎng)軍),都在想方設(shè)法在網(wǎng)絡(luò)側(cè)下功夫��,這也就意味著會(huì)發(fā)生下面這個(gè)場(chǎng)景:
當(dāng)安全分析人員在獲取到一個(gè)攻擊者域名時(shí)���,發(fā)現(xiàn)該域名被某威脅情報(bào)源打標(biāo)簽為Mirai��,也就是上面提到的僵尸網(wǎng)絡(luò)����,大部分安全分析人員會(huì)如何處理?
報(bào)告給客戶(hù)�����,這是一個(gè)僵尸網(wǎng)絡(luò)病毒�����,不用分析了��,按照網(wǎng)上的教程清除吧�。
但是如果這是網(wǎng)軍從僵尸網(wǎng)絡(luò)運(yùn)營(yíng)商處購(gòu)買(mǎi)肉雞����,從而發(fā)起攻擊呢?
目前已知就有兩個(gè)組織是這么干的����。
1、俄羅斯:2015年被發(fā)現(xiàn) GameOver Zeus惡意軟件僵尸網(wǎng)絡(luò)背后的策劃者正在幫助俄羅斯情報(bào)部門(mén)從他感染的計(jì)算機(jī)上收集敏感文件。
2019年被美國(guó)發(fā)現(xiàn) Dridex惡意軟件僵尸網(wǎng)絡(luò)的管理員與俄羅斯國(guó)家情報(bào)部門(mén)合作搜索敏感數(shù)據(jù)��。
2����、朝鮮[2]:
2019年,朝鮮網(wǎng)軍Lazarus 被曝與Trickbot合作�����,獲取僵尸主機(jī)作為回連資源����,其中有一個(gè)域名與該組織資產(chǎn)重疊。
總結(jié)
物聯(lián)網(wǎng) IoT引爆家電��、家居����、手機(jī)等多個(gè)行業(yè),主要原因正是各項(xiàng)技術(shù)和各個(gè)企業(yè)的落地實(shí)踐越來(lái)越成熟���。正如科幻大片中的場(chǎng)景�����,當(dāng)大部分的東西都能被感知���,人與物的溝通�����、物與物的協(xié)作更加順暢后�����,毫無(wú)疑問(wèn)���,智能家居將會(huì)成為家電產(chǎn)業(yè)的第三戰(zhàn)場(chǎng),帶來(lái)的不只是商業(yè)機(jī)會(huì)和增長(zhǎng)點(diǎn)���,還有更多的空間和舞臺(tái),以及大量的僵尸主機(jī)�。
顯而易見(jiàn),新戰(zhàn)場(chǎng)將屬于物聯(lián)網(wǎng)IOT����,在路由器,攝像頭���,智能家居漏洞頻發(fā)的時(shí)代�,你家里的電冰箱都可能作為攻擊源的一部分,這恰恰會(huì)成為網(wǎng)軍在斑駁雜亂的流量中宛如一只獵豹伺機(jī)而動(dòng)����,獵殺目標(biāo)無(wú)形無(wú)蹤。
這與本文前面提到的僵尸網(wǎng)絡(luò)變種的進(jìn)攻思路具備一致性����,路由器,防火墻����,IP攝像機(jī),船舶管理系統(tǒng)�����,服務(wù)器管理實(shí)用程序��,工業(yè)可編程邏輯控制器����,在線(xiàn)支付系統(tǒng)等等這些涉及各行各業(yè)的工作必需系統(tǒng)出現(xiàn)在了大批量的攻擊列表中,這也恰恰體現(xiàn)了一種攻擊思路:廣撒網(wǎng)����,精聚焦��。
