【关键字】
僵尸网络
研究人员近期发现一个影响Linux设备的恶意软件活动,进一步分析提取的样本发现这些活动都与一个僵尸网络有关——Momentum。研究人员发现该僵尸网络正在利用被黑的设备执行DDOS攻击。
Momentum僵尸网络主要攻击目标是不同CPU架构的Linux设备,包括 ARM, MIPS, Intel, Motorola 68020等CPU架构。恶意软件的是主要目的是打开后门,并接收命令来针对给定目标发起DOS攻击。Momentum僵尸网络传播的后门是Mirai, Kaiten, Bashlite变种,研究人员分析的样本中推送的是Mirai后门。此外,Momentum还利用不同路由器和web服务的漏洞来在不同目标设备上下载和执行shell脚本。
Momentum工作原理
感染设备后,Momentum会尝试修改rc文件来实现驻留,然后加入C2服务器,连接到名为#HellRoom的IRC信道来注册自己和接收命令。IRC协议是与C2服务器进行通信的主要方法。僵尸网络运营者会通过发送消息到IRC信道来控制受感染的系统。
图 1. 受感染的设备加入攻击者IRC命令和控制信道
图 2. 命令和控制信息路径(下载/传播服务器,IRC服务器)
如图2所示,传播服务器上有许多恶意软件可执行文件。其他的服务器是僵尸网络的C2服务器。C2服务器的最后活动日期是2019年11月18日。
通信链路建立后, Momentum可以利用被黑的设备使用不同的命令来发起攻击。比如,Momentum可以应用36种不同的方法来发起DoS攻击。
恶意软件使用已知的反射和放大方法来发起工具,比如MEMCACHE, LDAP, DNS,Valve Source Engine。在这些类型的攻击中,恶意软件可以伪造源IP地址发起针对受害者IP地址的洪泛攻击。
除了DOS攻击外,研究人员还发现Momentum可以执行其他动作,比如在给定IP上的端口上打开代理,修改客户端昵称,禁用或启用来自客户端的包等等。
Momentum DOS攻击
LDAP DDoS反射
在LDAP DDoS反射中,恶意软件可以用伪造的源IP地址来欺骗目标系统的LDAP服务器,引发到目标的大量响应消息。
Memcache攻击
在Memcache攻击中,远程攻击者可以使用伪造源IP的方式构造和发送恶意UDP请求。Memcached服务器会发送一个很大的响应到目标。Momentum使用HTTP GET请求来下载反射文件——恶意软件在其他放大DOS攻击中也使用相同的请求。
根据Shodan的数据,有超过42000有漏洞的memcached服务器受到此类攻击的影响。
Momentum僵尸网络使用下面的HTTP GET请求来下载反射文件:
GET / HTTP/1.1 User-Agent: Mozilla/4.75 [en] (X11; U; Linux 2.2.16-3 i686) Host: :80 Accept: */* Connection: Keep-Alive
UDP-BYPASS攻击
在UDP-BYPASS攻击中,Momentum会通过在特定端口构造和上传合法的UDP payload来对目标主机发起洪泛攻击。在攻击中,恶意软件会选择随机的端口和对应的payload,然后发送来发起攻击。恶意软件在该攻击中会使用多线程技术,每个线程对应一个端口和payload。
上面提到的大多数脚本用于服务发现。如果这些脚本在一段时间内发送给目标设备,就会引发dos攻击。
Phatwonk攻击
Phatwonk攻击可以一次执行多种DoS方法,包括 XMAS, all flags at once, usyn (urg syn),任意TCP flag融合。
Momentum的其他能力
除了DOS攻击外,恶意软件一般还会尝试绕过检测、维护开放通信等。Momentum也有许多启动的能力来帮助传播和入侵设备:
Fast flux。Momentum僵尸网络使用fast flux技术来使C2网络更加可靠。Fast flux网络意味着一个域名有多个相关IP地址,可以快速修改IP,攻击者可以使用它来误导或绕过安全调查人员。
后门。攻击者可以发送命令到IRC信道,恶意软件客户端在受感染的系统上接收和执行。攻击者执行后会将结果发送回相同的IRC信道。
复制和传播。Momentum会尝试利用表中列出的漏洞来进行复制和传播。研究人员分析发现某个C2服务器上有超过1200个受害者。
CCTV-DVR RCE漏洞利用形式:
ZyXEL路由器漏洞利用格式
Huawei路由器漏洞利用格式
D-Link HNAP1
相关SDK UPnP SOAP 命令执行
GPON80
GPON8080
GPON443
JAWS Webserver非认证的shell命令执行
Vacron NVR RCE
UPnP SOAP命令执行
THINK-PHP
HooTooTripMate RCE
表 3. 复制和传播过程中利用的漏洞和漏洞利用
下一篇 : 漏洞非小事,金融服务机构如何对抗代码缺陷?