物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)惡意程序監(jiān)測分析研究

湯輝 江西省計(jì)算技術(shù)研究所 南昌市 330003

賀余盛 徐寧 國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心江西分中心 南昌市 330036

0 引言

物聯(lián)網(wǎng)的飛速發(fā)展和應(yīng)用使越來越多的物聯(lián)網(wǎng)設(shè)備接入互聯(lián)網(wǎng)。由于缺乏網(wǎng)絡(luò)安全的重視，IoT設(shè)備分散、權(quán)責(zé)不清，部分設(shè)備部署之后基本處于無人監(jiān)管狀態(tài)，既沒有軟件或固件升級(jí)，也不會(huì)打補(bǔ)丁，導(dǎo)致IoT設(shè)備存在大量安全隱患，很容易被攻擊者發(fā)現(xiàn)漏洞并利用。

黑客在非法入侵大量物聯(lián)網(wǎng)設(shè)備后，黑客通過網(wǎng)絡(luò)控制節(jié)點(diǎn)（C2）控制，利用物聯(lián)網(wǎng)設(shè)備形成“僵尸大軍”作為攻擊跳板，以此聚集大量網(wǎng)絡(luò)資源發(fā)起有針對(duì)性的大規(guī)模的DDoS攻擊，對(duì)個(gè)人或者集體導(dǎo)致巨大的損失[1]。

為了掌握我省物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)的攻擊態(tài)勢，遏制其在省內(nèi)的蔓延，國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心江西分中心深度參與我省物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)的監(jiān)測處置工作。本文結(jié)合前期工作積累對(duì)物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)進(jìn)行監(jiān)測分析研究。

1 僵尸網(wǎng)絡(luò)攻擊模式研究

Mirai僵尸網(wǎng)絡(luò)是物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)中的典型代表。本節(jié)借助Mirai僵尸網(wǎng)絡(luò)簡單闡述物聯(lián)網(wǎng)DDoS攻擊的主要模式。Mirai僵尸網(wǎng)絡(luò)主要利用路由器、攝像頭等設(shè)備的漏洞，將僵尸程序傳播到互聯(lián)網(wǎng)，感染并控制大批在線主機(jī)，從而形成具有規(guī)模的僵尸網(wǎng)絡(luò)，然后對(duì)它們進(jìn)行集中控制，繼而發(fā)動(dòng)分布式拒絕服務(wù)（DDoS）攻擊。

Mirai僵尸網(wǎng)絡(luò)主要由ScanListen模塊、Load模塊、C&C模塊、Bot模塊構(gòu)成[2]。Bot模塊實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備telnet弱口令掃描，同時(shí)接收C&C模塊控制指令對(duì)目標(biāo)發(fā)動(dòng) DDoS攻擊；ScanListen模塊主要接收Bot模塊弱口令掃描得到的設(shè)備信息，包括：IP、端口、用戶名、密碼，并將其發(fā)送給 Load處理。Load模塊接收ScanListen發(fā)送的目標(biāo)信息，并針對(duì)每個(gè)設(shè)備植入木馬；C&C模塊主要用于管理Bot，發(fā)起DDoS攻擊。

圖1 Mirai感染邏輯示意圖

ScanListen在接受到Bot 的掃描結(jié)果信息后，未對(duì)信息發(fā)送方進(jìn)行身份驗(yàn)證，直接把結(jié)果傳遞給 Load，然后 Load直接對(duì)結(jié)果中的目標(biāo)植入木馬。

2 僵尸網(wǎng)絡(luò)監(jiān)測分析

2.1 技術(shù)路線

在《多元網(wǎng)絡(luò)數(shù)據(jù)采集技術(shù)在物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)監(jiān)測中的研究與應(yīng)用》研究的基礎(chǔ)上，構(gòu)建監(jiān)測平臺(tái)，實(shí)現(xiàn)對(duì)采集的多種惡意代碼的存儲(chǔ)、檢測、分析、特征情報(bào)提取，對(duì)惡意代碼進(jìn)行黑白判斷、IOT類家族識(shí)別、目的類型識(shí)別[3]。

通過對(duì)網(wǎng)絡(luò)流量、業(yè)務(wù)系統(tǒng)相關(guān)安全事件等實(shí)現(xiàn)文件匯聚、檢測、分析、自動(dòng)化特征提取，采用分布式消息隊(duì)列接收文件和PCAP數(shù)據(jù)包進(jìn)行檢測、格式解析、靜態(tài)分析提取相關(guān)結(jié)構(gòu)、IOT類字符串識(shí)別，進(jìn)而動(dòng)態(tài)分析提取相關(guān)系統(tǒng)行為，特別是IOT類型系統(tǒng)調(diào)用，DLL劫持替換等行為。另外，基于特征提取和相關(guān)的情報(bào)提取用于檢測識(shí)別。圖2為可疑文件檢測的主要技術(shù)流程。

圖2 文件檢測技術(shù)流程

2.2 實(shí)例分析

本節(jié)以MD5為7e1c3834c38984c34b6fd4c741ae3a21的樣本進(jìn)行實(shí)例分析。

當(dāng)網(wǎng)絡(luò)攝像機(jī)被攻擊者入侵后，該設(shè)備會(huì)嘗試連接一個(gè)下載站點(diǎn)，站點(diǎn)返回命令要求網(wǎng)絡(luò)攝像機(jī)執(zhí)行惡意shell腳本。其中某一腳本“wificam.sh”將會(huì)下載并執(zhí)行一些惡意樣本。惡意樣本在被執(zhí)行后，會(huì)刪除自身，僅在內(nèi)存中運(yùn)行。惡意樣本還會(huì)采用一些方法來確保該網(wǎng)絡(luò)攝像機(jī)不被其他攻擊者入侵。通過分析，在接收到C&C的命令后，網(wǎng)絡(luò)攝像機(jī)會(huì)通過利用CVE-2017-8225漏洞，開始自動(dòng)地掃描并入侵其他的網(wǎng)絡(luò)攝像機(jī)[4]。攻擊者利用某個(gè)漏洞可以獲得用戶的密碼文件，這意味無論用戶設(shè)置的密碼的強(qiáng)弱，攻擊者都可以控制該網(wǎng)絡(luò)攝像機(jī)。被C&C服務(wù)器控制的網(wǎng)絡(luò)攝像機(jī)，還可接受包含目標(biāo)IP、端口號(hào)的攻擊指令，之后通過UDP協(xié)議對(duì)其他的主機(jī)進(jìn)行DDoS攻擊[4]。

在攝像頭產(chǎn)品中，使用有效憑據(jù)，攻擊者可以檢索配置，瀏覽.cgi文件，攻擊者也需要進(jìn)行身份驗(yàn)證。攻擊者可以通過在URL中提供一個(gè)空的loginuse和一個(gè)空的登錄名來繞過身份驗(yàn)證，如下是本地的模擬服務(wù)演示截圖：

使用命令：

wget-qO-'http://192.168.1.107/system.ini?loginuse&loginpas'|xxd|less

圖3 本地的模擬服務(wù)演示截圖

在滲透機(jī)中運(yùn)行EXP漏洞利用程序：使用命令：gcc -Wall -o expls expldbg.c && ./expls 172.31.50.250

圖4 運(yùn)行漏洞利用程序

通過得到的賬號(hào)信息，通過遠(yuǎn)程登陸，然后執(zhí)行病毒樣本下載命令，實(shí)現(xiàn)木馬植入。

2.3 監(jiān)測結(jié)果分析

通過對(duì)現(xiàn)有的監(jiān)測樣本分析，常見物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)的掃描模塊主要掃描爆破22、23端口，將爆破成功的目標(biāo)IP進(jìn)行telnet或者ssh登陸，并執(zhí)行樣本植入指令。然而，不同物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)家族的掃描攻擊方式及加密方式也存在差異，比如：Persirai家族的掃描模塊是直接使用CVE-2017-8225漏洞的payload進(jìn)行攻擊獲取目標(biāo)IP的telnet賬號(hào)信息[5]。此外，Persirai將C2明文編碼在代碼中，Mirai使用異或算法加密C2；Persirai采用Mirai從未采用的81端口進(jìn)行傳播；二者通信協(xié)議完全不同；Persirai僅存在兩種DDoS攻擊向量，而Mirai包含10種。

3 僵尸網(wǎng)絡(luò)攻擊流量統(tǒng)計(jì)

對(duì)2020年1到6月份的攻擊總流量進(jìn)行監(jiān)測統(tǒng)計(jì)，同比2019上半年，單月最高攻擊流量下降了27.54%，環(huán)比2019下半年，單月最高攻擊流量下降了38.00%。

2020年上半年的兩個(gè)季度中，通過對(duì)DDoS攻擊流量的持續(xù)時(shí)間進(jìn)行統(tǒng)計(jì)分析，得到如圖5所示分布圖。

圖5 DDoS攻擊流量持續(xù)時(shí)間分布

可以看出，超過70%攻擊事件的攻擊持續(xù)時(shí)間在30分鐘以內(nèi)，DDoS攻擊流量持續(xù)時(shí)間長度與持續(xù)時(shí)間占比成反比。

2020年上半年的兩個(gè)季度中，通過在攻擊事件中對(duì)捕獲的攻擊流量進(jìn)行統(tǒng)計(jì)分析，得到如下圖6所示的攻擊流量峰值分布情況。

圖6 攻擊峰值段在2020年第一第二季度的分布

DDoS攻擊事件的攻擊峰值段，無論是第一還是第二季度，均以20-50G峰值段占取了最大比例，分別為25.79%和24.59%。但在第二季度中，攻擊峰值段在50-100G的百分比較第一季度上升了5.29%，攻擊事件的攻擊峰值有隱隱上升的趨勢。

4 結(jié)語

通過對(duì)物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)里攻擊模式的研究，采用了多元數(shù)據(jù)協(xié)同，多種采集渠道、深度分析識(shí)別樣本DDoS屬性，并進(jìn)行相關(guān)僵尸網(wǎng)絡(luò)的臥底監(jiān)控，針對(duì)全球范圍的物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)家族的DDoS攻擊活動(dòng)進(jìn)行了持續(xù)的監(jiān)測，形成了相關(guān)的系統(tǒng)，并產(chǎn)出了大量的數(shù)據(jù)。

從物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)家族的DDoS攻擊的實(shí)際監(jiān)測數(shù)據(jù)來看， DDoS攻擊無疑是一個(gè)巨大的安全隱患，對(duì)互聯(lián)網(wǎng)的穩(wěn)定運(yùn)行產(chǎn)生嚴(yán)重阻礙。盡管經(jīng)過持續(xù)性的僵尸網(wǎng)絡(luò)的專項(xiàng)打擊工作，2020年的攻擊總量有所減少，但伴隨著DDoS工具的廉價(jià)性、易獲取性，以及各僵尸網(wǎng)絡(luò)家族的快速增長，利用物聯(lián)網(wǎng)設(shè)備組建僵尸網(wǎng)絡(luò)發(fā)起攻擊的現(xiàn)象日益嚴(yán)峻，與此同時(shí)，移動(dòng)端的僵尸網(wǎng)絡(luò)亦處于萌芽階段，網(wǎng)絡(luò)安全之路可謂任重道遠(yuǎn)。