信息來源:FreeBuf
前言
僵尸網(wǎng)絡(luò) Botnet 是指采用一種或多種傳播手段,將大量主機(jī)感染bot程序(僵尸程序)病毒��,從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對多控制的網(wǎng)絡(luò)�����。
攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī),而被感染的主機(jī)將通過一個(gè)控制信道接收攻擊者的指令����,組成一個(gè)僵尸網(wǎng)絡(luò)。之所以用僵尸網(wǎng)絡(luò)這個(gè)名字�,是為了更形象地讓人們認(rèn)識到這類危害的特點(diǎn):眾多的計(jì)算機(jī)在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅(qū)趕和指揮著,成為被人利用的一種工具�。
而本文提到的一種最新的僵尸網(wǎng)絡(luò)Mirai變種ECHOBOT,足足使用了71個(gè)漏洞利用(EXP)�����,將對每一個(gè)資產(chǎn)進(jìn)行漏洞批量掃描�����,要知道�����,半年前還有13個(gè)漏洞并沒有加入他們的利用庫中�,這比很多漏洞掃描工具的更新速度還要快。
此外還將對近期披露的關(guān)于網(wǎng)軍與僵尸網(wǎng)絡(luò)合作共贏一事闡述���。
ECHOBOT僵尸網(wǎng)絡(luò)
最新的僵尸網(wǎng)絡(luò)參考平底鍋的文章[1]中提及的ECHOBOT最新變種��,從惡意軟件的代碼以及種類可見�����,其模塊眾多�,跨多平臺�����,內(nèi)置71個(gè)漏洞利用代碼�,其中每個(gè)漏洞利用語句的變量名都代表了每個(gè)漏洞的所攻擊的中間件����。
▲截圖用Hash:b4135621d623676cc021c570aea07964
本著推動(dòng)國內(nèi)安全廠商對該僵尸網(wǎng)絡(luò)防護(hù)能力提升的原則���,我們搬運(yùn)了平底鍋整理的漏洞利用列表���,僅供參考。
一�、Yachtcontrol-船用電子設(shè)備和船用導(dǎo)航軟件的web服務(wù)器
CVE-2019-17270 掃描端口8081
二、Technicolor TD5130v2和Technicolor TD5336路由器
CVE-2019-18396 / CVE-2017-14127 掃描端口161
三�����、CON6視頻會議系統(tǒng)存在CON6遠(yuǎn)程執(zhí)行代碼漏洞
四�、Enigma網(wǎng)管系統(tǒng) v65.0.0
CVE-2019-16072
五、三菱電機(jī)smartRTU&INEA ME-RTU
CVE-2019-14931
六�、適用于Linux服務(wù)器的Sar2HTML繪圖工具v3.2.1
Sar2HTML遠(yuǎn)程執(zhí)行代碼
七、NetGain企業(yè)管理系統(tǒng)
CVE-2017-16602
八���、Citrix NetScaler SD-WAN 9.1.2.26.561201設(shè)備
CVE-2017-6316
九��、Thomson Reuters Velocity Analytics Vhayu Analytic Servers 6.94 build2995
CVE-2013-5912
十���、ACTi ASOC 2200 Web Configurators 2.6及更低版本遠(yuǎn)程執(zhí)行代碼漏洞
十一���、3Com OfficeConnect路由器遠(yuǎn)程執(zhí)行代碼
十二��、Barracuda 防垃圾郵件防火墻versions 3.3.x
十三、CCBill 在線支付系統(tǒng)遠(yuǎn)程代碼執(zhí)行
此外�����,該變種還采用了新的憑據(jù)爆破賬號����,猜測某些IOT廠商又設(shè)置了默認(rèn)的“后門賬號”。
僵尸網(wǎng)絡(luò)與網(wǎng)軍合作
從上面這個(gè)案例可見�����,當(dāng)僵尸網(wǎng)絡(luò)部署了大批有效的漏洞武器后��,鑒于全世界范圍內(nèi)很多設(shè)備并沒有及時(shí)更新的情況下����,大批主機(jī)將會受控,并且基于受控主機(jī)的基礎(chǔ)上進(jìn)行一步進(jìn)行橫向擴(kuò)展和感染��,尤其是一個(gè)僵尸網(wǎng)絡(luò)病毒感染了一臺內(nèi)網(wǎng)主機(jī)之后��。
那么僵尸網(wǎng)絡(luò)運(yùn)營商在獲取了大量的僵尸主機(jī)(肉雞)后,他們會做些什么�?
主要有兩個(gè)方向:
1、通過肉雞本身盈利���,例如大批量挖礦����,或針對指定目標(biāo)發(fā)起DDOS攻擊斂財(cái)�����,服務(wù)器勒索����。
2、出售肉雞盈利
這里就要提一下第二個(gè)方向�。
如今的一些有攻擊策略的,擅長隱藏自身的APT組織(網(wǎng)軍)�����,都在想方設(shè)法在網(wǎng)絡(luò)側(cè)下功夫�,這也就意味著會發(fā)生下面這個(gè)場景:
當(dāng)安全分析人員在獲取到一個(gè)攻擊者域名時(shí),發(fā)現(xiàn)該域名被某威脅情報(bào)源打標(biāo)簽為Mirai����,也就是上面提到的僵尸網(wǎng)絡(luò)���,大部分安全分析人員會如何處理?
報(bào)告給客戶��,這是一個(gè)僵尸網(wǎng)絡(luò)病毒�,不用分析了��,按照網(wǎng)上的教程清除吧��。
但是如果這是網(wǎng)軍從僵尸網(wǎng)絡(luò)運(yùn)營商處購買肉雞�����,從而發(fā)起攻擊呢��?
目前已知就有兩個(gè)組織是這么干的�����。
1�����、俄羅斯:2015年被發(fā)現(xiàn) GameOver Zeus惡意軟件僵尸網(wǎng)絡(luò)背后的策劃者正在幫助俄羅斯情報(bào)部門從他感染的計(jì)算機(jī)上收集敏感文件。
2019年被美國發(fā)現(xiàn) Dridex惡意軟件僵尸網(wǎng)絡(luò)的管理員與俄羅斯國家情報(bào)部門合作搜索敏感數(shù)據(jù)��。
2����、朝鮮[2]:
2019年,朝鮮網(wǎng)軍Lazarus 被曝與Trickbot合作���,獲取僵尸主機(jī)作為回連資源�,其中有一個(gè)域名與該組織資產(chǎn)重疊�����。
總結(jié)
物聯(lián)網(wǎng) IoT引爆家電�����、家居��、手機(jī)等多個(gè)行業(yè)��,主要原因正是各項(xiàng)技術(shù)和各個(gè)企業(yè)的落地實(shí)踐越來越成熟�����。正如科幻大片中的場景,當(dāng)大部分的東西都能被感知���,人與物的溝通�、物與物的協(xié)作更加順暢后�,毫無疑問,智能家居將會成為家電產(chǎn)業(yè)的第三戰(zhàn)場����,帶來的不只是商業(yè)機(jī)會和增長點(diǎn),還有更多的空間和舞臺�����,以及大量的僵尸主機(jī)����。
顯而易見���,新戰(zhàn)場將屬于物聯(lián)網(wǎng)IOT����,在路由器,攝像頭��,智能家居漏洞頻發(fā)的時(shí)代���,你家里的電冰箱都可能作為攻擊源的一部分�,這恰恰會成為網(wǎng)軍在斑駁雜亂的流量中宛如一只獵豹伺機(jī)而動(dòng)�,獵殺目標(biāo)無形無蹤。
這與本文前面提到的僵尸網(wǎng)絡(luò)變種的進(jìn)攻思路具備一致性�����,路由器����,防火墻,IP攝像機(jī)�,船舶管理系統(tǒng),服務(wù)器管理實(shí)用程序���,工業(yè)可編程邏輯控制器��,在線支付系統(tǒng)等等這些涉及各行各業(yè)的工作必需系統(tǒng)出現(xiàn)在了大批量的攻擊列表中�����,這也恰恰體現(xiàn)了一種攻擊思路:廣撒網(wǎng)�,精聚焦。
