信息來源:FreeBuf
前言
僵尸網(wǎng)絡(luò) Botnet 是指采用一種或多種傳播手段,將大量主機(jī)感染bot程序(僵尸程序)病毒,從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對多控制的網(wǎng)絡(luò)。
攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī),而被感染的主機(jī)將通過一個(gè)控制信道接收攻擊者的指令,組成一個(gè)僵尸網(wǎng)絡(luò)。之所以用僵尸網(wǎng)絡(luò)這個(gè)名字,是為了更形象地讓人們認(rèn)識到這類危害的特點(diǎn):眾多的計(jì)算機(jī)在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅(qū)趕和指揮著,成為被人利用的一種工具。
而本文提到的一種最新的僵尸網(wǎng)絡(luò)Mirai變種ECHOBOT,足足使用了71個(gè)漏洞利用(EXP),將對每一個(gè)資產(chǎn)進(jìn)行漏洞批量掃描,要知道,半年前還有13個(gè)漏洞并沒有加入他們的利用庫中,這比很多漏洞掃描工具的更新速度還要快。
此外還將對近期披露的關(guān)于網(wǎng)軍與僵尸網(wǎng)絡(luò)合作共贏一事闡述。
ECHOBOT僵尸網(wǎng)絡(luò)
最新的僵尸網(wǎng)絡(luò)參考平底鍋的文章[1]中提及的ECHOBOT最新變種,從惡意軟件的代碼以及種類可見,其模塊眾多,跨多平臺,內(nèi)置71個(gè)漏洞利用代碼,其中每個(gè)漏洞利用語句的變量名都代表了每個(gè)漏洞的所攻擊的中間件。
▲截圖用Hash:b4135621d623676cc021c570aea07964
本著推動(dòng)國內(nèi)安全廠商對該僵尸網(wǎng)絡(luò)防護(hù)能力提升的原則,我們搬運(yùn)了平底鍋整理的漏洞利用列表,僅供參考。
一、Yachtcontrol-船用電子設(shè)備和船用導(dǎo)航軟件的web服務(wù)器
CVE-2019-17270 掃描端口8081
二、Technicolor TD5130v2和Technicolor TD5336路由器
CVE-2019-18396 / CVE-2017-14127 掃描端口161
三、CON6視頻會議系統(tǒng)存在CON6遠(yuǎn)程執(zhí)行代碼漏洞
四、Enigma網(wǎng)管系統(tǒng) v65.0.0
CVE-2019-16072
五、三菱電機(jī)smartRTU&INEA ME-RTU
CVE-2019-14931
六、適用于Linux服務(wù)器的Sar2HTML繪圖工具v3.2.1
Sar2HTML遠(yuǎn)程執(zhí)行代碼
七、NetGain企業(yè)管理系統(tǒng)
CVE-2017-16602
八、Citrix NetScaler SD-WAN 9.1.2.26.561201設(shè)備
CVE-2017-6316
九、Thomson Reuters Velocity Analytics Vhayu Analytic Servers 6.94 build2995
CVE-2013-5912
十、ACTi ASOC 2200 Web Configurators 2.6及更低版本遠(yuǎn)程執(zhí)行代碼漏洞
十一、3Com OfficeConnect路由器遠(yuǎn)程執(zhí)行代碼
十二、Barracuda 防垃圾郵件防火墻versions 3.3.x
十三、CCBill 在線支付系統(tǒng)遠(yuǎn)程代碼執(zhí)行
此外,該變種還采用了新的憑據(jù)爆破賬號,猜測某些IOT廠商又設(shè)置了默認(rèn)的“后門賬號”。
僵尸網(wǎng)絡(luò)與網(wǎng)軍合作
從上面這個(gè)案例可見,當(dāng)僵尸網(wǎng)絡(luò)部署了大批有效的漏洞武器后,鑒于全世界范圍內(nèi)很多設(shè)備并沒有及時(shí)更新的情況下,大批主機(jī)將會受控,并且基于受控主機(jī)的基礎(chǔ)上進(jìn)行一步進(jìn)行橫向擴(kuò)展和感染,尤其是一個(gè)僵尸網(wǎng)絡(luò)病毒感染了一臺內(nèi)網(wǎng)主機(jī)之后。
那么僵尸網(wǎng)絡(luò)運(yùn)營商在獲取了大量的僵尸主機(jī)(肉雞)后,他們會做些什么?
主要有兩個(gè)方向:
1、通過肉雞本身盈利,例如大批量挖礦,或針對指定目標(biāo)發(fā)起DDOS攻擊斂財(cái),服務(wù)器勒索。
2、出售肉雞盈利
這里就要提一下第二個(gè)方向。
如今的一些有攻擊策略的,擅長隱藏自身的APT組織(網(wǎng)軍),都在想方設(shè)法在網(wǎng)絡(luò)側(cè)下功夫,這也就意味著會發(fā)生下面這個(gè)場景:
當(dāng)安全分析人員在獲取到一個(gè)攻擊者域名時(shí),發(fā)現(xiàn)該域名被某威脅情報(bào)源打標(biāo)簽為Mirai,也就是上面提到的僵尸網(wǎng)絡(luò),大部分安全分析人員會如何處理?
報(bào)告給客戶,這是一個(gè)僵尸網(wǎng)絡(luò)病毒,不用分析了,按照網(wǎng)上的教程清除吧。
但是如果這是網(wǎng)軍從僵尸網(wǎng)絡(luò)運(yùn)營商處購買肉雞,從而發(fā)起攻擊呢?
目前已知就有兩個(gè)組織是這么干的。
1、俄羅斯:2015年被發(fā)現(xiàn) GameOver Zeus惡意軟件僵尸網(wǎng)絡(luò)背后的策劃者正在幫助俄羅斯情報(bào)部門從他感染的計(jì)算機(jī)上收集敏感文件。

2019年被美國發(fā)現(xiàn) Dridex惡意軟件僵尸網(wǎng)絡(luò)的管理員與俄羅斯國家情報(bào)部門合作搜索敏感數(shù)據(jù)。
2、朝鮮[2]:
2019年,朝鮮網(wǎng)軍Lazarus 被曝與Trickbot合作,獲取僵尸主機(jī)作為回連資源,其中有一個(gè)域名與該組織資產(chǎn)重疊。

總結(jié)
物聯(lián)網(wǎng) IoT引爆家電、家居、手機(jī)等多個(gè)行業(yè),主要原因正是各項(xiàng)技術(shù)和各個(gè)企業(yè)的落地實(shí)踐越來越成熟。正如科幻大片中的場景,當(dāng)大部分的東西都能被感知,人與物的溝通、物與物的協(xié)作更加順暢后,毫無疑問,智能家居將會成為家電產(chǎn)業(yè)的第三戰(zhàn)場,帶來的不只是商業(yè)機(jī)會和增長點(diǎn),還有更多的空間和舞臺,以及大量的僵尸主機(jī)。
顯而易見,新戰(zhàn)場將屬于物聯(lián)網(wǎng)IOT,在路由器,攝像頭,智能家居漏洞頻發(fā)的時(shí)代,你家里的電冰箱都可能作為攻擊源的一部分,這恰恰會成為網(wǎng)軍在斑駁雜亂的流量中宛如一只獵豹伺機(jī)而動(dòng),獵殺目標(biāo)無形無蹤。
這與本文前面提到的僵尸網(wǎng)絡(luò)變種的進(jìn)攻思路具備一致性,路由器,防火墻,IP攝像機(jī),船舶管理系統(tǒng),服務(wù)器管理實(shí)用程序,工業(yè)可編程邏輯控制器,在線支付系統(tǒng)等等這些涉及各行各業(yè)的工作必需系統(tǒng)出現(xiàn)在了大批量的攻擊列表中,這也恰恰體現(xiàn)了一種攻擊思路:廣撒網(wǎng),精聚焦。