Botnet趋势传统僵尸网络家族
传统僵尸网络家族
本年度,IoT 平台的主要威胁依然是以 Mirai、Gafgyt 等为代表的主流僵尸网络家族,同时以 Dofloo 为首的多平台僵尸网络家族也活于多种设备环境中。这些木马程序普遍具有出现时间长、变种数量众 多、通信模式传统、攻击模式典型等特征。然而,正是这些“土得掉渣”的家族,组成了当今 IoT 平台 威胁形式的主体。
Mirai
本年度,根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据
,Mirai 家族无疑是最活 的 IoT DDoS僵尸网络家族之一。该家族因代码开源而导致大量变种产生,并通过 UPX变形壳进行保 护。下表显示了本年度特征比较明显的 Mirai 变种:
表 6 Mirai 常见变种与特征
变种名称 | 特征 |
---|---|
hybridMQ_v2 | 具备 Mirai 初始化代码特征和 Gafgyt 攻击代码特征的混合型变种,通信模式与 Gafgyt 相同。 |
mirai_skyline |
基于 Mirai 原始代码修改,进行若干项修改: 输出的内容修改为 SkyLine; C&C地址修改为域名; 增加 DNS解析能力; 上线信息替换为:0xBA2224156FAD4049C1F60D; 只保留了 TCP flood,HTTP flood 以及 UDP flood 三种 DDooS 攻击方法。 |
mirai_joker | 基于 Mirai 变种 Miori修改,输出内容包含关键字 Joker,上线信息同样进行了文字替换。 |
mirai_haxers | 基于 Mirai 变种 Miori修改,替换了漏洞利用代码,并将字符串替换为 haxers。 |
mirai_miori_v2 | 基于 Mirai 变种 Miori修改,修改了字符串输出,使用了 Gafgyt 输出字串进行特征混淆 . |
mirai_Hustle5k | 基于 Mirai 原始代码修改,输出内容包含关键字 Hustle5k,其他无改变。 |
mirai_hito | 基于 Mirai 原始代码修改,仅替换了加密 key |
mirai_spider | |
mirai_Caligula | 基于 Mirai 原始代码修改,输出内容包含关键字 Caligula,其他无改变。 |
mirai_Mukashi | 基于 Mirai 原始代码修改,调整了 Mirai 的代码结构,调整上线信息为:regis |
ter me。 | |
mirai_Fbot | |
基于 Mirai 变种 Satori 修改,增加了区块链 DNS解析非标准 C&C名称。 | |
mirai_remiixx | 基于 Mirai 原始代码修改,输出内容包含关键字 dropbear,其他无改变。 |
mirai_Kurtis | 基于 Mirai 原始代码修改,输出内容包含关键字 kurtis,其他无改变。 |
由上表可见,本年度 Mirai 变种的改变不大,主要集中在 DDoS 功能的置换、漏洞利用代码的更新 和对抗措施的升上。此外,部分变种对 C&C基础设施 | |
的保护有所加强,其升体现在两个方面,一 是使用域名来替代 IP,二是使用 Tor 网络加密 C&C信道。而在对抗性方面,Mirai 变种 Aisuru 增加了对蜜罐的检测,在触发以下条件时,会向 C&C发送蜜罐 的 IP 地址及端口: | |
a. 设备名称为“LocalHost”; | |
b. 设备上的所有服务将于 6 月 22 日或 6 月 23 日启动 (“ Jun22”或“ Jun23”字符串的存在表 明存在 Cowrie 蜜罐 ); | |
c. 存在“richard”字符串 ( 开源的 Cowrie 蜜罐中带有这个用户名 )。 |
除以上改动部分之外,本年度中,Mirai 家族在 DDoS 活度方面相较于去年来说有一定升,其 攻击目标主要集中在游戏行业和通用服务类业务。
图 18 Mirai 全年攻击目标 Top20 行业分布
Mirai 攻击者目前运营模式仍然是 BaaS(botnet as a service),攻击事件均匀分布在 24h 内,攻 击自动化程度极高。
Mirai 家族的攻击活动在全年波动较大,攻击事件多集中于第三季度,这也是经济活动恢复较快的 阶段。根据观测数据来看,Mirai 攻击者发动攻击的频率与社会经济活动息息相关。
Gafgyt
作为老牌开源 DDoS 僵尸网络家族,Gafgyt 木马变种众多,使用者遍布世界各地。根据 CNCERT 物联网威胁情报平台及绿盟威胁识别系统监测数据,Gafgyt 木马活跃程度仅次于 Mirai 家族。
目前 Gafgyt 主要变种越来越多地融合了其他开源木马家族的代码,以此弥补原始 Gafgyt 程序的 一些缺陷,包括配置信息外露、持久化能力差等。例如,伏影实验室本年度检测到了大量被命名为 HybridMQ 的 Gafgyt 变种木马,其二进制文件中包含 Gafgyt 木马的基础通信框架,Mirai 木马的 C&C 信息保护逻辑,以及来自其他 Gafgyt/Mirai 变种的多种 DDoS 攻击代码。这样的融合方式在一定程度上 增加了 Gafgyt 木马的生存能力。
Gafgyt 攻击目标依然以互联网通用服务以及各类游戏服务为主,除固定的 21(FTP)、22(SSH)、 53(DNS)、80(HTTP)、443(HTTPS)、3074(XBOXLive) 以外,Gafgyt 瞄准的其他端口随着热门游戏服务 的变化而变化。
这些攻击目标都进一步向欧美地区集中,攻击目标集中于美国、加拿大、英国、法国、德国、澳大 利亚等国,亚洲方面依然以中国作为首要目标。
图 21 Gafgyt 攻击目标国别分布
本年度,伏影实验室检测到的 Gafgyt 木马规模与上年度基本持平(20868->18950),并且在整个 年度都保持了同样水平的活跃度。
图 22 Gafgyt 月度活跃节点数量统计
Gafgyt C&C所在区域进一步集中,以美国、俄罗斯、英国、法国、德国、加拿大、西班牙为主,值 得注意的是伊朗成为了新的 C&C部署地区。
图 23 Gafgyt C&C 地理分布
这些情况说明,在各种治理手段的打击下,Gafgyt 依然具有顽固的生存能力。
参考资料
绿盟 2020 DDoS攻击态势报告
友情链接
GA 1277.4-2020 互联网交互式服务安全管理要求 第4部分:即时通信服务
Botnet趋势传统僵尸网络家族相关推荐
- COVID-与传统邮件僵尸网络家族
新兴邮件木马家族 AgentTesla AgentTesla 是本年度在影响规模方面增长最快的邮件木马. AgentTesla 是典型的间谍类木马,当前的主要版本会窃取各类浏览器 中的凭证.各种 FT ...
- Botnet趋势典型攻击链
典型攻击链 本年度,伏影实验室根据 CNCERT物联网 威胁情报平台及绿盟威胁识别系统监测数据,在检测僵尸 网络威胁与网络攻击事件时发现,Mirai 变种 Fetch 家族使用了最新的攻击链进行攻击. ...
- Botnet趋势漏洞利用状况分析
执行摘要 在过去的一年中,世界遭受了新冠疫情的袭击,生产生活受到了极大的影响.但在网络世界中,僵 尸网络作为多年来的主要威胁形式之一,并未受到疫情的影响,反而更加活.今年,绿盟科技和国家 互联网 应急 ...
- Botnet趋势Dofloo
Dofloo 本年度,根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据 ,Dofloo 僵尸网络木 马活度高,呈现了超越以往的态势.该家族是知名僵尸网络家族 TFDDoS 的一类稳定变种 ...
- 年度重点家族盘点—PC僵尸网络家族
Dofloo 本年度,根据 CNCERT物联网 威胁情报平台及绿盟威胁识别系统监测数据,Dofloo 僵尸网络木 马活度高,呈现了超越以往的态势.该家族是知名僵尸网络家族 TFDDoS 的一类稳定变种 ...
- P2P僵尸网络-家族类别
Pink Pink 家族曾在中国境内感染了超过百万级的设备,其非实效性指令通过 P2P 传递,实效性强的指令通过集中控制的方式发布.是一个设计巧妙的 P2P 僵尸网络家族 Pink 僵尸网络概述 Pi ...
- Botnet趋势Bigviktor
Bigviktor 2020 年 6 月,绿盟科技伏影实验室威胁捕获团队,根据 CNCERT物联网 威胁情报平台及绿盟威胁 识别系统监测数据,检测到数例针对 DrayTek Vigor 路由器的漏洞利 ...
- 物联网僵尸网络Gafgyt家族与物联网设备后门漏洞利用
一.病毒介绍 Gafgyt(又称BASHLITE,Qbot,Lizkebab,LizardStresser)是一款基于IRC协议的物联网僵尸网络程序,主要用于发起DDoS攻击.它可以利用内置的用户名. ...
- 小心!你家的 IoT 设备可能已成为僵尸网络“肉鸡”
图源 | 视觉中国 受访者 | 吴铁军 记者 | 夕颜 出品 | AI科技大本营(ID:rgznai100) 2020年,全球遭受了新冠疫情的袭击,人们的生产生活受到了极大的影响.在网络世界中,僵尸网 ...
最新文章
- JS实例学习笔记——w3cschool+菜鸟教程
- Java-优秀博客推荐
- JavaScript 运行机制详解
- python爬虫beautifulsoup爬当当网_Python爬虫包 BeautifulSoup 递归抓取实例详解_python_脚本之家...
- LncRNADisease database数据库使用方法
- C#语法:委托与方法
- linux网络管理基本命令
- JFreeChart插件
- 第三次学JAVA再学不好就吃翔(part27)--自定义工具类
- The LLVM Compiler Infrastructure | LLVM编译器基础设施
- Redis之Redis事务
- 拜托,面试别再问我TopK了!!!
- 人工智能——产生式系统(动物识别产生式系统)项目开发
- c语言入门这一篇就够了-学习笔记(一万字)
- 中国“脑计划”研究正在悄然布局
- HTL5 JavaScript里的DOM节点简单思维导图(元素节点,文本节点,节点的增删改查) 高清可打印
- 天威dns服务器无响应,天威DNS服务器地址设置
- STM32 CAN 库函数
- arm linux not syncing,Linux系统启动中途停止,提示Kernel panic - not syncing: Attempted to kill init!...
- 2019年1-6月网络安全态势分析及建议