TheMoon殭屍網路最新發展分析
過去一年時間,CenturyLink安全研究人員一直在追蹤一個名為TheMoon的IoT殭屍網路。該殭屍網路主要利用網路中路由器的漏洞。從2014年初開始,該殭屍網路不斷髮展並利用公佈的漏洞利用來攻擊大量的裝置。這些漏洞利用包括Linksys, ASUS, MikroTik, D-Link等廠商生產的大量裝置。
TheMoon殭屍網路的威脅性在於在感染後可以傳播不同功能的惡意模組。研究人員有充足證據相信攻擊者出售代理殭屍網路給其他惡意軟體攻擊者,並用它進行憑證暴力破解、視訊廣告欺詐、通用流量混淆。
TheMoon最早進入人們視野是研究人員發現許多裝置在多個主流網站上進行憑證暴力破解攻擊。根據被感染裝置的IP地址,研究人員發現大量的惡意基礎設施,其中C2地址為91.215.158[.]118。
TheMoon工作原理
為了進一步擴大殭屍網路的範圍,攻擊者會掃描主機來尋找執行在IoT裝置上有漏洞的服務。一旦發現有漏洞的服務,就會使用一個含有多個漏洞利用的shell指令碼。大多數的漏洞利用攻擊的都是執行在8080埠上的有漏洞的IoT Web應用。Shell指令碼執行後會從domstates[.]su下載初始階段的payload。TheMoon傳播的大多數二進位制檔案和模組都是使用zlib壓縮來壓縮和混淆檔案中元件。為了管理殭屍網路,主二進位制檔案會使用3個不同的埠來進行C2通訊:其中一個在二進位制開始執行時進行初始註冊;一個用於C2通訊;一個用於下載其他的payload。不同的架構型別和二進位制檔案使用的埠都是不同的。比如,MIPS使用5684埠進行註冊,用5184埠作為C2,用4584埠用在下載payload;而ARM使用的三個埠分別是5732,5132和4532。TheMoon可以執行任意的payload,因此該殭屍網路非常危險,而且殭屍網路作者可以不斷新增新的功能。
圖1是TheMoon殭屍網路簡化的架構。
MIPS sox模組與ARM裝置中的模組是不同的。這個新模組有所不同:它將受感染的裝置變成SOCKS5代理。之前含有代理功能的模組允許C2伺服器傳送代理請求,新模組允許殭屍網路作者以代理網路即服務的形式出售該其他攻擊者。代理埠是10000以上隨機選擇的,而且每天會改變多次。因為該代理埠是沒有經過認證的,因此允許任何人通過受感染的裝置來路由(轉發)流量。2018年4月,攻擊者就將代理修改為使用認證,圖2是該payload的架構。
因為受感染的裝置執行的代理看似是隨機選擇的超過10000的埠。研究人員通過分析通訊模式發現相同ASN中的24個IP地址大埠範圍內與受感染的裝置進行通訊。研究人員認為這些IP是由使用TheMoon代理殭屍網路即服務的攻擊者來管理的。
進一步分析這24個IP地址,研究人員發現每個IP在TCP 8002埠都有一個唯一的服務。連線到埠後,會自動接收與視訊廣告欺詐活動相關的日誌資訊流。每個伺服器每秒鐘平均傳送7個訊息。圖3是視訊廣告欺詐伺服器報告的日誌示例。在每條日誌中都有一個表示到代理的瀏覽請求的域名和URL。在6個小時內,一個伺服器到2700個域名的19000個URL。瀏覽了部分URL後,可以看出都有嵌入的YouTube視訊。表1是result和extendedResult域的一些可能的值。
追蹤TheMoon殭屍網路,ip key有一個base64編碼的字串,如圖4所示。這表示用於視訊廣告欺詐請求的代理。當攻擊者選擇代理埠的認證,使用者名稱和密碼都回加入日誌中。通過分析密碼和代理結合的列表,密碼是一個通過計數器值修改的base64編碼版本的埠。負責生成埠和密碼的python函式見https://www.netformation.com/our-pov/a-new-phase-of-themoon/
的附件。
每個日誌都含有一個base64編碼的表示裝置情況的JSON字串。在分析日誌時研究人員發現許多不同型別的裝置型別。但是還不清楚這些請求和簡介是來自被惡意軟體感染的裝置還是由視訊廣告欺詐伺服器自己生成的。
研究人員在5月到8月對視訊廣告欺詐伺服器進行了監控,視訊廣告欺詐伺服器每天報告的代理IP的數量如圖6所示。在峰值時,有大量的新裝置型別加入到代理池中。
圖7是與C2 91.215.158.118進行通訊的唯一IP地址。綠線表示與C2在不同埠通訊的IP數量。IP地址從10月底開始減少,表示有大量裝置從被感染裝置中移除了。