欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

物联网僵尸网络的研究与监测,“IOT幽灵”样本研究专项主题

来源:本站整理 作者:佚名 时间:2017-09-28 TAG: 我要投稿

配景
近年来,国度高度看重物联网的成长,物联网曾经上升为国度计谋财产。跟着物联网的遍及,规模的扩展,网安成绩也必定随之而来。
16年10月,Mirai应用物联网装备动员一路规模庞大的DDoS入侵攻击,惹起了人们对物联网网安成绩的看重。
克日,蜜罐体系捕获到与Mirai具备雷同特色的入侵攻击样本(Backdoor.Linux.Gafgyt,上面简称“Gafgyt”)。Gafgyt于 2014 年 8 月第一次被发觉,2014 岁终LizardSquard ( 黑客构造 ) 应用该样本提议一路DDoS惹起网安界的小规模存眷。 2015 年 1 月 Gafgyt 的源代码被地下,呈现愈来愈多的变种,网安威逼日益重大。
蜜罐告警
7月13日,蜜罐体系监测到大批的telnet爆破变乱

停止7月30号,两周共捕获到Gafgyt新变种样本28个

咱们统计了蜜罐近来一周telnet端口遭到的入侵攻击次数
入侵攻击起源
入侵攻击次数
百分比
IP归属地
180.163.192.211
222530
21.76%
上海市
84.244.31.8
76573
7.48%
俄罗斯
85.154.111.67
69943
6.84%
阿曼
122.54.169.122
61161
6.10%
菲律宾
71.227.146.158
46205
4.52%
美国
195.22.126.166
25567
2.50%
波兰
93.87.168.206
15316
1.50%
塞尔维亚
61.48.40.26
15027
1.47%
北京市
151.65.163.68
12691
1.24%
意大利
178.132.2.114
11154
1.10%
俄罗斯
行为阐发
Gafgyt渐渐演酿成一个庞大的家属,样本支撑X86-64/ARM/MIPS/PowerPC/Motorola68000/SPARC/SuperH等多个分歧平台,每一个样本的上线(主控)IP也各不雷同。
MD5
运转平台
主控IP
521fd3a64c9d50fb5cf88c306572ef24
ARM
185.***.***.25:444
5d8c1884e29ea1cfa81bf59079702d75
X86
185.***.***.117:23
2d764a26d6bcbcabf1d87c94ca43d6cf
ARM
104.***.***.150:444
咱们重点阐发了X86平台的变种(别的平台变种程式逻辑雷同),起首看一下程式运转逻辑:

样本运转后,起首将本身过程更名,伪装成/usr/sbin/dropbear(相似SSH办事),这是Linux下木马习用手法,目标是让TOP或PS敕令所看到的过程门路和样本现实门路分歧,运维职员能够较轻易发觉可疑过程,但找到样本 现实门路必要费点工夫,增加了手工查杀的难度。

而后和主控端树立衔接,衔接后发送上线信息。

并创立端口监听,接管并处置主控端发送的指令。
样本包括15条通讯指令
指令
寄义
PING
心跳包,相应答复“PONG”
GETLOCALIP
获得当地ip
SCANNER
开端扫描
HOLD
和指定ip坚持衔接
JUNK
发送渣滓数据
UDP
UDP入侵攻击
TCP
TCP入侵攻击
HTTP
HTTP入侵攻击
CNC
同指定ip树立衔接
COMBO
挪用JUNK/HOLD两处函数
KILLATTK
停止一切义务
FATCOCK
删除一些文件
GTFOFAG
停止本身过程
DUPPP
停止本身过程
SH
履行敕令
下图是PING、SH两条指令的代码截图:


比拟特别的是SCANNER指令,当一个Bot端接管到这个指令时,将启动一个子过程(以fork方法),该子过程在与主控端失联的情况下,仍然对公网随机IP的23端口停止扫描爆破,除非接管到KILLATTK/GTFOFAG/ DUPPP指令。
接下来让咱们一路看看扫描爆破的流程是如何的,一提到扫描爆破,很多人会想到高效的扫描对象+强大的暗码字典,是黑客必备对象。但该样本的暗码字典却出奇的简略(28个罕见用户名、暗码),如下图:

看到上图,你能够立刻想问:这么简略的字典能爆破甚么东东啊?
在阐发样本时咱们也有雷同的疑难,依照以往的履历,黑客用来爆破SSH/Telnet的字典数目一样平常在几百到2000阁下,这个样本采纳大批的暗码字典,推想一是跟大规模的扫描公网IP,字典少扫描效力绝对较高;二是和病毒作者想入侵攻击的目标无关——IoT装备,互联网上存在大批的IOT装备(开启Telnet 23端口)应用默许或简略的暗码,阐明这些装备的应用者网安认识比拟软弱,拿下这些装备反而能作为历久“肉鸡”来应用。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载