Botnet趋势传统僵尸网络家族

传统僵尸网络家族

本年度，IoT 平台的主要威胁依然是以 Mirai、Gafgyt 等为代表的主流僵尸网络家族，同时以 Dofloo 为首的多平台僵尸网络家族也活于多种设备环境中。这些木马程序普遍具有出现时间长、变种数量众多、通信模式传统、攻击模式典型等特征。然而，正是这些“土得掉渣”的家族，组成了当今 IoT 平台威胁形式的主体。

Mirai

本年度，根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据
，Mirai 家族无疑是最活的 IoT DDoS僵尸网络家族之一。该家族因代码开源而导致大量变种产生，并通过 UPX变形壳进行保护。下表显示了本年度特征比较明显的 Mirai 变种：
表 6　Mirai 常见变种与特征

变种名称	特征
hybridMQ_v2	具备 Mirai 初始化代码特征和 Gafgyt 攻击代码特征的混合型变种，通信模式与 Gafgyt 相同。
mirai_skyline	基于 Mirai 原始代码修改，进行若干项修改：输出的内容修改为 SkyLine； C&C地址修改为域名；增加 DNS解析能力；上线信息替换为：0xBA2224156FAD4049C1F60D；只保留了 TCP flood，HTTP flood 以及 UDP flood 三种 DDooS 攻击方法。
mirai_joker	基于 Mirai 变种 Miori修改，输出内容包含关键字 Joker，上线信息同样进行了文字替换。
mirai_haxers	基于 Mirai 变种 Miori修改，替换了漏洞利用代码，并将字符串替换为 haxers。
mirai_miori_v2	基于 Mirai 变种 Miori修改，修改了字符串输出，使用了 Gafgyt 输出字串进行特征混淆 .
mirai_Hustle5k	基于 Mirai 原始代码修改，输出内容包含关键字 Hustle5k，其他无改变。
mirai_hito	基于 Mirai 原始代码修改，仅替换了加密 key
	mirai_spider
mirai_Caligula	基于 Mirai 原始代码修改，输出内容包含关键字 Caligula，其他无改变。
mirai_Mukashi	基于 Mirai 原始代码修改，调整了 Mirai 的代码结构，调整上线信息为：regis
ter me。
mirai_Fbot
基于 Mirai 变种 Satori 修改，增加了区块链 DNS解析非标准 C&C名称。
mirai_remiixx	基于 Mirai 原始代码修改，输出内容包含关键字 dropbear，其他无改变。
mirai_Kurtis	基于 Mirai 原始代码修改，输出内容包含关键字 kurtis，其他无改变。
由上表可见，本年度 Mirai 变种的改变不大，主要集中在 DDoS 功能的置换、漏洞利用代码的更新和对抗措施的升上。此外，部分变种对 C&C基础设施
的保护有所加强，其升体现在两个方面，一是使用域名来替代 IP，二是使用 Tor 网络加密 C&C信道。而在对抗性方面，Mirai 变种 Aisuru 增加了对蜜罐的检测，在触发以下条件时，会向 C&C发送蜜罐的 IP 地址及端口：
a.　设备名称为“LocalHost”；
b.　设备上的所有服务将于 6 月 22 日或 6 月 23 日启动 (“ Jun22”或“ Jun23”字符串的存在表明存在 Cowrie 蜜罐 )；
c.　存在“richard”字符串 ( 开源的 Cowrie 蜜罐中带有这个用户名 )。

除以上改动部分之外，本年度中，Mirai 家族在 DDoS 活度方面相较于去年来说有一定升，其攻击目标主要集中在游戏行业和通用服务类业务。
图 18　Mirai 全年攻击目标 Top20 行业分布
Mirai 攻击者目前运营模式仍然是 BaaS（botnet as a service），攻击事件均匀分布在 24h 内，攻击自动化程度极高。

Mirai 家族的攻击活动在全年波动较大，攻击事件多集中于第三季度，这也是经济活动恢复较快的阶段。根据观测数据来看，Mirai 攻击者发动攻击的频率与社会经济活动息息相关。

Gafgyt

作为老牌开源 DDoS 僵尸网络家族，Gafgyt 木马变种众多，使用者遍布世界各地。根据 CNCERT 物联网威胁情报平台及绿盟威胁识别系统监测数据，Gafgyt 木马活跃程度仅次于 Mirai 家族。
目前 Gafgyt 主要变种越来越多地融合了其他开源木马家族的代码，以此弥补原始 Gafgyt 程序的一些缺陷，包括配置信息外露、持久化能力差等。例如，伏影实验室本年度检测到了大量被命名为 HybridMQ 的 Gafgyt 变种木马，其二进制文件中包含 Gafgyt 木马的基础通信框架，Mirai 木马的 C&C 信息保护逻辑，以及来自其他 Gafgyt/Mirai 变种的多种 DDoS 攻击代码。这样的融合方式在一定程度上增加了 Gafgyt 木马的生存能力。
Gafgyt 攻击目标依然以互联网通用服务以及各类游戏服务为主，除固定的 21(FTP)、22(SSH)、 53(DNS)、80(HTTP)、443(HTTPS)、3074(XBOXLive) 以外，Gafgyt 瞄准的其他端口随着热门游戏服务的变化而变化。

这些攻击目标都进一步向欧美地区集中，攻击目标集中于美国、加拿大、英国、法国、德国、澳大利亚等国，亚洲方面依然以中国作为首要目标。
图 21　Gafgyt 攻击目标国别分布
本年度，伏影实验室检测到的 Gafgyt 木马规模与上年度基本持平（20868->18950），并且在整个年度都保持了同样水平的活跃度。

图 22　Gafgyt 月度活跃节点数量统计

Gafgyt C&C所在区域进一步集中，以美国、俄罗斯、英国、法国、德国、加拿大、西班牙为主，值得注意的是伊朗成为了新的 C&C部署地区。
图 23　Gafgyt C&C 地理分布
这些情况说明，在各种治理手段的打击下，Gafgyt 依然具有顽固的生存能力。

参考资料

绿盟 2020 DDoS攻击态势报告

友情链接

GA 1277.4-2020 互联网交互式服务安全管理要求第4部分：即时通信服务