Botnet趋势Bigviktor

Bigviktor

2020 年 6 月，绿盟科技伏影实验室威胁捕获团队，根据 CNCERT物联网
威胁情报平台及绿盟威胁识别系统监测数据，检测到数例针对 DrayTek Vigor 路由器的漏洞利用入侵事件，并确定此传播利用了 CVE-2020-8515 漏洞。根据捕获的流量，在攻击 payload 在执行过程中，还触发了大量疑似 DGA的流量。经深入分析，我们发现这是一款全新的僵尸网络木马，可进行 DDoS 攻击及自更新。功能方面，该木马仍采用了传统的 DDoS 攻击模式，但作者未完成所有的功能设计
，部分攻击指令对应模块为空，为未来扩展做下铺垫。图 12　BigViktor 主要 C&C通信流程
Bigviktor 通过 RC4 解密内置的 DGA词组字典，实现与 C&C的通信。经解密，我们发现其词组包含了 100 个动词 (Verb)、1522 个名词 (Noun)、525 个形容词 (Adj)、40 个前缀 (Prefix) 和 20 个后缀 (Suffix)，最终形成的域名格式为 Prefix.Verb-Adj-Noun.Suffix。

表 4　Bigviktor DGA 算法关键词一览

	Verb	Noun	Adj		Prefix Suffix
be		a	able	cam	art
have		ability	acceptable	video	click
do		abroad	according	x	club
say		abuse	accurate	a	com
go		access	action	www	fans
get		accident	active	ftp	futbol
make		account	actual	ssl
in		know		act	additional
think		action	administ
rative	www1	link		take
see		activity	afraid	noc	nl
come		actor	after	smtp	observer
want		ad	afternoon	pop	one
	look		addition	agent	ssl
use		address	aggressive	secure	pictures
find		administration	ago	images	realty
give		adult	airline	th	rocks
tell		advance	alive	img	tel
work		advantage	all	download	top
call		advertising	alone	mail	xyz
try		advice	alternative	remote
DGA域名需要 key 经过简单运算并拼接来组成，key 来自于访问 RC4 解密后的特定网址所获得的日期（格式为 %b %Y 00:00）经 SHA256 运算后的前 4 字节。

表 5　用于获得时间 KEY的特定网站一览

jd.com	weibo.com	vk.com	csdn.net	okezone.com	office.com	xinhuanet.com
babytree.com	livejasmin.com	twitch.tv	naver.com	aliexpress.com	stackoverflow.com	tribunnews.com
yandex.ru	soso.com	msn.com	facebook.com	youtube.com	baidu.com	en.wikipedia.org
twitter.com	amazon.com	imdb.com	reddit.com	pinterest.com	ebay.com	tripadvisor.com
craigslist.org	walmart.com	instagram.com	google.com	nytimes.com	apple.com	linkedin.com
indeed.com	play.google.com	espn.com	webmd.com	cnn.com	homedepot.com	etsy.com
netflix.com	quora.com	microsoft.com	target.com	merriam-webster.com	forbes.com	tmall.com
baidu.com	qq.com	sohu.com	taobao.com	360.cn	tianya.cn
因此可知，每个月产生的 DGA域名都是不同的，且数量达到千余条。

图 15　Gobrut 针对 WordPress 网站的暴破 / 扫描指令占比
在受到暴破尝试攻击的网站顶级域名分布中，com 占据近一半数量，剩下的部分大多是各个国家的顶级域名，这从某种程度上反映了当今 WordPress 网站的分布。

图 16　受 Gobrut 攻击的 WordPress 网站顶级域名分布

此外，该家族还有着一定的子域名搜集能力。伏影实验室发现，在扫描指令给定的目标中，不乏一些超长的多级子域名，最多甚至高达 19 级，如下图所示：

图 17　受到扫描的超长多级子域名
这表明攻击者很可能使用了子域名暴破手段来进行子域名挖掘。子域名暴力破解指的是通过自动化枚举的方式来探测某域名拥有的次级域名。由于子域名在渗透中可能成为突破口，所以受到攻击者的青睐。
由此可见，Gobrut 的控制者在后台拥有较为完善和健全的域名采集和挖掘机制，并利用分布式僵尸网络在海量基数的域名条目中发现脆弱网站，进行非定向的无差别攻击。

参考资料

绿盟 2020 DDoS攻击态势报告

友情链接

绿盟新型IoT机顶盒恶意软件Rowdy网络分析报告