IoT_reaper : 一個正在快速擴張的新 IoT殭屍網路

前言

從2017-09-13 01:02:13開始，我們捕獲到一個新的針對IoT設備的惡意樣本出現，在隨後的這個一個多月時間裡，這個新的IoT殭屍網路家族不斷持續更新，開始在互聯網上快速大規模的組建殭屍網路軍團。

該殭屍網路脫胎於mirai，但是在諸多方面比mirai更進一步，特別是開始放棄弱口令猜測，完全轉向利用IoT設備漏洞收割，成為IoT殭屍網路里的新興玩家。我們將之命名為IoT_reaper。

IoT_reaper規模較大且正在積極擴張，例如最近的數據昨日(10月19日)在我們觀察到的多個C2中，其中一個C2上活躍IP地址去重後已經有10k個，此外還有更多的易感設備信息已經被提交到後台，由一個自動的loader持續植入惡意代碼、擴大殭屍網路規模。

所幸目前該殭屍網路還尚未發出植入惡意代碼以外的其他攻擊指令，這反映出該殭屍網路仍然處在早期擴張階段。但是作者正在積極的修改代碼，這值得我們警惕。

我們公開IoT_reaper的相關信息，希望安全社區、設備供應商、政府能夠採取共同行動，聯合遏制該殭屍網路的擴張。

源於mirai，高於mirai

該殭屍網路部分借用了mirai的源代碼，但是在幾個關鍵行為上顯著區別於mirai，包括：

惡意代碼投入時不再使用弱口令猜測、而是使用IoT設備漏洞，掃描發現效率大大提高；

惡意代碼中集成了LUA執行環境，從而支持通過lua腳本編寫複雜的攻擊指令；

主動抑制了掃描速度， 被安全研究者發現的風險大大降低；

樣本的投入、C2的布局和流量變化

以hxxp://162.211.183.192/sa樣本為例，樣本的投入過程如下。可以注意到downloader是IoT_reaper特有，這個 C2 布局與mirai有顯著區別：

162.211.183.192：downloader，樣本下載伺服器，一般以"d"作為二級域名，http://d.hl852.com

27.102.101.121：controller，能夠控制BOT、發送控制指令，一般以"e"作為二級域名，http://e.hl852.com

222.112.82.231：reporter，接收BOT掃描到的易感染設備信息，一般以"f"作為二級域名，http://f.hl852.com

119.82.26.157：loader，基於reporter獲得的IP信息，通過漏洞植入bot

下圖是上述4個IP地址自9月1日以來的流量變化：

樣本中集成了9個IoT漏洞

IoT_reaper完全放棄了mirai中利用弱口令猜測的方式，轉為利用IoT設備的漏洞植入，當前樣本中集成了了9個IoT設備漏洞。最近十天以來，攻擊者正在積極的將漏洞利用集成進入樣本中，其中一個漏洞在公開後僅2天就被集成。

Dlink https://blogs.securiteam.com/index.php/archives/3364

Goahead https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html

JAWS https://www.pentestpartners.com/blog/pwning-cctv-cameras/

Netgear https://blogs.securiteam.com/index.php/archives/3409

Vacron NVR https://blogs.securiteam.com/index.php/archives/3445

Netgear http://seclists.org/bugtraq/2013/Jun/8

Linksys http://www.s3cur1ty.de/m1adv2013-004

dlink http://www.s3cur1ty.de/m1adv2013-003

AVTECH https://github.com/Trietptm-on-Security/AVTECH

可以注意到作者在積極的改進代碼：

公開渠道10月8日公開的 Vacron NVR遠程利用漏洞，作者在10月10日以前就已經增加到惡意代碼中；

10月12日、10月16日的兩次更新，作者分別增加了3個、1個漏洞利用；

樣本中集成了lua執行環境

Md5: CA92A3B74A65CE06035FCC280740DAF6

基於lua執行環境，攻擊者可以編寫出非常複雜而且高效的攻擊腳本。

樣本中集成了約100個DNS伺服器

比照我們的DRDoS數據，100+的DNS伺服器中，有大約三分之一的伺服器曾經在現實世界中用來做為DNS反射攻擊的反射點。這在之前mirai及其變種中是沒有觀察到的。

攻擊者是否能夠進一步充分組合使用 IoT 殭屍網路 + DNS反射點 打出大流量的DDoS攻擊，有待進一步觀察。

目前為止沒有實質性的攻擊指令

攻擊指令方面，目前為止除了下載樣本的指令以外，沒有看到DDoS攻擊指令，這顯示出攻擊者目前工作重心仍在構建殭屍網路上。

感染規模

基於一些統計技巧，我們對感染規模做了一個相對精確的統計

待植入節點數：單個C2，超過2m；

累積已植入節點數：單個C2，近7天超過20k；

當日活躍節點數：單個C2，10月19日大約是10k左右；

同時在線節點數：單個C2，大約是4k左右；

攻擊能力

雖然目前為止我們沒有監測到該殭屍網路除植入惡意代碼以外的任何攻擊行為，但是我們判定該殭屍網路有較強的攻擊潛力：

可以認為攻擊者擁有100Gbps攻擊帶寬。我們已經確認該殭屍網路有超過10k/d的日活節點，假定每個節點擁有10mbps的上行帶寬，則攻擊者擁有100Gbps的攻擊帶寬；

該殭屍網路內置了lua執行環境。儘管樣本中刪去了mirai相關攻擊代碼，但基於lua執行環境可以編寫出非常複雜而且高效的攻擊腳本；

IoC URLs

hxxp://http://cbk99.com:8080/run.lua

hxxp://http://bbk80.com/api/api.php

hxxp://103.1.221.40/63ae01/39xjsda.php

hxxp://162.211.183.192/down/server.armel

hxxp://162.211.183.192/sa

hxxp://162.211.183.192/sa5

hxxp://162.211.183.192/server.armel

hxxp://162.211.183.192/sm

hxxp://162.211.183.192/xget

hxxp://198.44.241.220:8080/run.lua

hxxp://23.234.51.91/control-ARM-LSB

hxxp://23.234.51.91/control-MIPS32-MSB

hxxp://23.234.51.91/htam5le

hxxp://23.234.51.91/htmpbe

hxxp://27.102.101.121/down/1506753086

hxxp://27.102.101.121/down/1506851514

IoC Hashes

3182a132ee9ed2280ce02144e974220a

3d680273377b67e6491051abe17759db

41ef6a5c5b2fde1b367685c7b8b3c154

4406bace3030446371df53ebbdc17785

4e2f58ba9a8a2bf47bdc24ee74956c73

596b3167fe0d13e3a0cfea6a53209be4

6587173d571d2a587c144525195daec9

6f91694106bb6d5aaa7a7eac841141d9

704098c8a8a6641a04d25af7406088e1

726d0626f66d5cacfeff36ed954dad70

76be3db77c7eb56825fe60009de2a8f2

95b448bdf6b6c97a33e1d1dbe41678eb

9ad8473148e994981454b3b04370d1ec

9f8e8b62b5adaf9c4b5bdbce6b2b95d1

a3401685d8d9c7977180a5c6df2f646a

abe79b8e66c623c771acf9e21c162f44

b2d4a77244cd4f704b65037baf82d897

ca92a3b74a65ce06035fcc280740daf6

e9a03dbde09c6b0a83eefc9c295711d7

f9ec2427377cbc6afb4a7ff011e0de77

fb7c00afe00eeefb5d8a24d524f99370

推薦閱讀：