引用:
前日起(12月10日)全球互聯(lián)網(wǎng)范圍DNS流量異常。云堤團隊(DamDDoS)迅速參與分析處置����。本次事件攻擊自12月10日凌晨起至今仍在持續(xù)����,為近年來持續(xù)時間最長的DNS DDoS攻擊,目前已監(jiān)測到的攻擊最大流量近1億Qps(約合76.38Gbps)
跟蹤:
12月10日,DNS異常故障時期����,360網(wǎng)絡(luò)攻防實驗室的小伙伴也在跟進此問題。之前定位到*.arkhamnetwork.org; *.arkhamnetwork.com(針對某游戲服務(wù)提供商的權(quán)威域名服務(wù)器進行攻擊,最后服務(wù)商解析內(nèi)容fraud.ddos.go.away,投降)360的遞歸DNS緩存被攻擊的流量大概30000QPS����,使用的攻擊方法是:通過發(fā)起對隨機前綴域名查詢的解析請求造成對遞歸服務(wù)拒絕服務(wù)。
下圖是根據(jù)360大數(shù)據(jù)安全分析可視化平臺發(fā)現(xiàn)一臺BOT終端解析域名的情況����,這個攻擊特征非常明顯,而且攻擊方法也非常粗暴����。
通過下面這張圖片分析到遭受拒絕服務(wù)攻擊的不止*.arkhamnetwork.org; *.arkhamnetwork.com,這兩個根域名����。其主要的兩個DNS服務(wù)器是ns11.dnsmadeeasy.com和ns12.dnsmadeeasy.com,其中有很多臺類似IP:167.114.25.179這樣的bot發(fā)起了很多針對*.arkhamnetwork.org的DNS拒絕服務(wù)攻擊請求。造成兩臺nameserver拒絕服務(wù)����。
深入分析,這些IP地址大多數(shù)都是路由器����、智能攝像頭等設(shè)備。起初攻擊者是通過這些遠程命令執(zhí)行����,或者弱口令等方式獲得系統(tǒng)權(quán)限。然后植入蠕蟲程序����,腳本運行后這個蠕蟲的網(wǎng)絡(luò)活動是在不斷的掃描任意C段的23號端口,利用弱口令去抓更多智能硬件設(shè)備����,擴大點數(shù)產(chǎn)生更大的攻擊流量。
通過網(wǎng)絡(luò)活動定位到調(diào)用網(wǎng)絡(luò)活動的進程文件如下����,該蠕蟲程序會生成很多新的進程文件,進程文件中會包含此進程所執(zhí)行的指令����。
蠕蟲程序在執(zhí)行后會在指定目錄下生成隨機文件名的惡意代碼,并在運行后自刪除����。
有幸的是,找到了一些沒有刪除的惡意樣本����。于是乎就把程序download下來分析。
首先判斷這些惡意文件是ELF可執(zhí)行文件,并不是什么腳本一類的����。
我們在IDA下對樣本文件進行靜態(tài)分析,能夠看到該蠕蟲程序的一些任務(wù)指令����,以及C2服務(wù)器的地址。還有一些是C2服務(wù)器IP地址顯示這臺智能硬件的狀態(tài)����。目前分析到SLEEP,Dildos這兩個狀態(tài)。
根據(jù)逆向分析后得到的關(guān)鍵信息發(fā)現(xiàn)該智能硬件蠕蟲狀態(tài)的進一步證據(jù)����,下圖顯示的是該智能硬件處于Sleeping狀態(tài)。
當(dāng)進入Sleeping狀態(tài)時����,這個終端只與C2服務(wù)器(23.227.173.210)連接,不執(zhí)行任何掃描感染任務(wù)����,也不進行DOS攻擊任務(wù)。
通過對這個智能硬件的程序分析總結(jié)一下智能硬件的蠕蟲感染的途徑����,首先是由攻擊者利用智能硬件漏洞獲得root權(quán)限����,執(zhí)行蠕蟲代碼����。C2服務(wù)器就等待智能硬件上線����,隨后在默認(rèn)的情況下感染蠕蟲的智能硬件是會自動掃描發(fā)現(xiàn)其它的智能硬件,并自動化利用漏洞讓目標(biāo)感染蠕蟲程序����。控制程序還有一個狀態(tài)就是Sleeping����,這個狀態(tài)就是保持與C2服務(wù)器的連接。等待下發(fā)指令����,當(dāng)前不做任何網(wǎng)絡(luò)活動。最后就是發(fā)起攻擊的時候就是dildos狀態(tài)����。根據(jù)目前靜態(tài)分析的結(jié)果有這樣幾個狀態(tài)����,不排除今后會有變種會有更多的狀態(tài)����。
危害
根據(jù)云堤的數(shù)據(jù),12月10日����,已監(jiān)測到的攻擊最大流量近1億Qps,(約合76.38Gbps)結(jié)合國外的一些消息大概此次發(fā)起攻擊的消息,是使用了1000多個終端發(fā)起的攻擊����。這個數(shù)字已經(jīng)很可怕了,如果有10000個這樣的智能硬件受到感染發(fā)起攻擊����,那么流量將會達到700G左右。更何況現(xiàn)在的智能攝像頭����,路由器的漏洞、智能插座層出不窮����,未來出貨量也是成倍增長����。那么當(dāng)智能硬件達到一個量級時����,由于其自身安全問題會給互聯(lián)網(wǎng)造成很大的安全威脅的����。實際上這就是將網(wǎng)絡(luò)戰(zhàn)場延伸到智能硬件這個領(lǐng)域。
防范措施
這類惡意程序的防范方法很難����,由于大多數(shù)都是駐留在智能硬件固件系統(tǒng)中,固件不具備查殺惡意程序所依賴的環(huán)境����,徹底查殺起來非常難。而且很多用戶在進行初次配置完成后就不會管這些設(shè)備了����,這也增加了查殺的難度。
1.對于用戶修改自己智能攝像頭����、路由器等硬件的默認(rèn)密碼����。關(guān)注官方發(fā)布的更新程序����。
2.對于廠商來講,需要加強固件的安全審計����,對智能硬件進行測評,保障智能硬件不存在信息安全問題����,才可以供貨。并關(guān)注國內(nèi)外對智能硬件進行安全測試結(jié)果和漏洞����。有新漏洞出現(xiàn)時需及時打補丁。
3.對于相關(guān)部門����、運營商、安全公司����,應(yīng)該對這些BOT進行全方位的監(jiān)控����,如果BOT發(fā)起大量的異常攻擊從運營商層面進行流量清洗����。對BOT惡意版本的變化進行定期的取樣和分析。研發(fā)相關(guān)查殺腳本����。
