Botnet趋势Bigviktor
Bigviktor
2020 年 6 月,绿盟科技伏影实验室威胁捕获团队,根据 CNCERT物联网
威胁情报平台及绿盟威胁 识别系统监测数据,检测到数例针对 DrayTek Vigor 路由器的漏洞利用入侵事件,并确定此传播利用了 CVE-2020-8515 漏洞。根据捕获的流量,在攻击 payload 在执行过程中,还触发了大量疑似 DGA的流量。 经深入分析,我们发现这是一款全新的僵尸网络木马,可进行 DDoS 攻击及自更新。功能方面,该木马仍采用了传统的 DDoS 攻击模式,但作者未完成所有的功能设计
,部分攻击指令 对应模块为空,为未来扩展做下铺垫。图 12 BigViktor 主要 C&C通信流程
Bigviktor 通过 RC4 解密内置的 DGA词组字典,实现与 C&C的通信。经解密,我们发现其词组包含 了 100 个动词 (Verb)、1522 个名词 (Noun)、525 个形容词 (Adj)、40 个前缀 (Prefix) 和 20 个后缀 (Suffix), 最终形成的域名格式为 Prefix.Verb-Adj-Noun.Suffix。
表 4 Bigviktor DGA 算法关键词一览
Verb | Noun | Adj | Prefix Suffix | ||
---|---|---|---|---|---|
be | a | able | cam | art | |
have | ability | acceptable | video | click | |
do | abroad | according | x | club | |
say | abuse | accurate | a | com | |
go | access | action | www | fans | |
get | accident | active | ftp | futbol | |
make | account | actual | ssl | ||
in | know | act | additional | ||
think | action | administ | |||
rative | www1 | link | take | ||
see | activity | afraid | noc | nl | |
come | actor | after | smtp | observer | |
want | ad | afternoon | pop | one | |
look | addition | agent | ssl | ||
use | address | aggressive | secure | pictures | |
find | administration | ago | images | realty | |
give | adult | airline | th | rocks | |
tell | advance | alive | img | tel | |
work | advantage | all | download | top | |
call | advertising | alone | xyz | ||
try | advice | alternative | remote | ||
DGA域名需要 key 经过简单运算并拼接来组成,key 来自于访问 RC4 解密后的特定网址所获得的日 期(格式为 %b %Y 00:00)经 SHA256 运算后的前 4 字节。 |
表 5 用于获得时间 KEY的特定网站一览
jd.com | weibo.com | vk.com | csdn.net | okezone.com | office.com | xinhuanet.com |
---|---|---|---|---|---|---|
babytree.com | livejasmin.com | twitch.tv | naver.com | aliexpress.com | stackoverflow.com | tribunnews.com |
yandex.ru | soso.com | msn.com | facebook.com | youtube.com | baidu.com | en.wikipedia.org |
twitter.com | amazon.com | imdb.com | reddit.com | pinterest.com | ebay.com | tripadvisor.com |
craigslist.org | walmart.com | instagram.com | google.com | nytimes.com | apple.com | linkedin.com |
indeed.com | play.google.com | espn.com | webmd.com | cnn.com | homedepot.com | etsy.com |
netflix.com | quora.com | microsoft.com | target.com | merriam-webster.com | forbes.com | tmall.com |
baidu.com | qq.com | sohu.com | taobao.com | 360.cn | tianya.cn | |
因此可知,每个月产生的 DGA域名都是不同的,且数量达到千余条。 |
图 15 Gobrut 针对 WordPress 网站的暴破 / 扫描指令占比
在受到暴破尝试攻击的网站顶级域名分布中,com 占据近一半数量,剩下的部分大多是各个国家的 顶级域名,这从某种程度上反映了当今 WordPress 网站的分布。
图 16 受 Gobrut 攻击的 WordPress 网站顶级域名分布
此外,该家族还有着一定的子域名搜集能力。伏影实验室发现,在扫描指令给定的目标中,不乏一 些超长的多级子域名,最多甚至高达 19 级,如下图所示:
图 17 受到扫描的超长多级子域名
这表明攻击者很可能使用了子域名暴破手段来进行子域名挖掘。子域名暴力破解指的是通过自动化 枚举的方式来探测某域名拥有的次级域名。由于子域名在渗透中可能成为突破口,所以受到攻击者的青 睐。
由此可见,Gobrut 的控制者在后台拥有较为完善和健全的域名采集和挖掘机制,并利用分布式僵尸 网络在海量基数的域名条目中发现脆弱网站,进行非定向的无差别攻击。
参考资料
绿盟 2020 DDoS攻击态势报告
友情链接
绿盟 新型IoT机顶盒恶意软件Rowdy网络分析报告
Botnet趋势Bigviktor相关推荐
- Botnet趋势典型攻击链
典型攻击链 本年度,伏影实验室根据 CNCERT物联网 威胁情报平台及绿盟威胁识别系统监测数据,在检测僵尸 网络威胁与网络攻击事件时发现,Mirai 变种 Fetch 家族使用了最新的攻击链进行攻击. ...
- Botnet趋势漏洞利用状况分析
执行摘要 在过去的一年中,世界遭受了新冠疫情的袭击,生产生活受到了极大的影响.但在网络世界中,僵 尸网络作为多年来的主要威胁形式之一,并未受到疫情的影响,反而更加活.今年,绿盟科技和国家 互联网 应急 ...
- Botnet趋势Dofloo
Dofloo 本年度,根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据 ,Dofloo 僵尸网络木 马活度高,呈现了超越以往的态势.该家族是知名僵尸网络家族 TFDDoS 的一类稳定变种 ...
- Botnet趋势传统僵尸网络家族
传统僵尸网络家族 本年度,IoT 平台的主要威胁依然是以 Mirai.Gafgyt 等为代表的主流僵尸网络家族,同时以 Dofloo 为首的多平台僵尸网络家族也活于多种设备环境中.这些木马程序普遍具有 ...
- 小心!你家的 IoT 设备可能已成为僵尸网络“肉鸡”
图源 | 视觉中国 受访者 | 吴铁军 记者 | 夕颜 出品 | AI科技大本营(ID:rgznai100) 2020年,全球遭受了新冠疫情的袭击,人们的生产生活受到了极大的影响.在网络世界中,僵尸网 ...
- 人工智能与大数据时代-2020
20200524 2020 新基建.新动能5G车路协同白皮书 2020 能源石化交易行业区块链应用白皮书 2020中国智慧文旅5G应用白皮书 自动驾驶仿真技术研究报告 中国独角兽企业发展白皮书 &q ...
- 重器 :关键基础设施保护
执行摘要 2019 年,全球政治经济秩序系统性挑战增加,在传统战争手段为各类条约所限不敢大肆发挥的情 况下,金融行业和网络安全 领域首当其冲,成为新型战争的试水手段甚至将会成为常规手段.<201 ...
- 【每日新闻】浪潮发布云计算战略 3.0,打造平台生态型企业 | 复旦开创新存储技术:10纳秒写入速度,可定制有效期
每一个企业级的人 都置顶了 中国软件网 中国软件网 为你带来最新鲜的行业干货 小编点评 我们希望邀请更多的生态伙伴 共同探讨 共同行动 2018年4月25日 北京站,不见不散! 趋势洞察 生态视角 ...
- 攻击类型的攻击次数分布
攻击类型分析 2018 年,主要的攻击类型 1 为 SYN Flood,UDP Flood,ACK Flood,HTTP Flood,HTTPS Flood, 这五大类攻击占了总攻击次数的 96%,反 ...
最新文章
- 直播服务器简单实现 http_flv和hls 内网直播桌面
- Dubbo的RPC原理
- Spring Cloud是什么,和Dubbo对比呢?
- Python的time模块和datatime模块
- LeetCode题——最长无重复子串
- TikTok全球月活突破10亿
- 程序员面试宝典问题及解析
- hal库开启中断关中断_【MCU】寄存器、标准库、HAL库、LL库,这么多库!你叫我怎么选?...
- P5459 [BJOI2016]回转寿司
- MySQL 判断表中是否存在某条数据
- 吉米多维奇数学分析习题集--习题1380(用隐函数求导计算泰勒展开式)
- ffmpeg ffprobe查看视频文件编码格式
- 机器学习(14)——激活函数
- xx学院学员评优评奖管理系统
- C/C++ - http协议发送字段,文件,单个和多张图片
- Ubuntu18.04安装redmine+mysql+nginx+Passenger
- 查询光猫厂家为ZTE,且内存范围在0到100之间,统计去掉重复的loid之后的数量,并计算出内存的avg,max,min,sum
- 思科模拟器 --- 扩展IP访问控制列表配置
- 骗你不是人 硬盘传输速度提升100倍的方法
- 【论文解读 WWW 2019 | MVAE】Multimodal Variational Autoencoder for Fake News Detection
热门文章
- 口腔诊所需不需要网络顾问计算机,牙科口腔诊所网络咨询岗位职责.doc
- ROS 无缝漫游教程(方法一)
- 机器学习(幂次学院)笔记
- 河创项目课堂讨论记录电子版
- 魅族加入华为鸿蒙系统,魅族正式加入鸿蒙系统,首批产品下周发布!华为:万物皆鸿蒙!...
- 数据分析的最佳实践,全球创新创业活力指数大赛等你来战
- .NET代码质量 | 一天一点代码坏味道(4)
- Dynamic Routing Between Capsules学习资料总结
- FreeBSD安装openssh
- Unity3D C#数学系列之判断两条线段是否相交并求交点