压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

作者:ADLab

1. 鯨鯊蠕蟲介紹

近期，啟明星辰ADLab與電信云堤發(fā)現(xiàn)了一款新型物聯(lián)網(wǎng)蠕蟲：鯨鯊蠕蟲，鯨鯊蠕蟲是首款利用物聯(lián)網(wǎng)設備來構(gòu)建大型代理網(wǎng)絡的蠕蟲病毒，主要感染對象包括路由器、網(wǎng)絡攝像頭、交換機等物聯(lián)網(wǎng)設備，我們當前所發(fā)現(xiàn)的該蠕蟲受控于一臺位于俄羅斯的主機服務器。

此蠕蟲并未實現(xiàn)任何可以用于網(wǎng)絡攻擊的模塊，從我們目前的分析結(jié)果來看，該蠕蟲僅僅實現(xiàn)了一個 TCP 流量轉(zhuǎn)發(fā)的功能，黑客可以利用該功能向任何指定 IP 地址發(fā)送 TCP 數(shù)據(jù)包。因此我們推測，該黑客試圖利用蠕蟲來建立一個大型的網(wǎng)絡代理平臺，并利用該平臺管理的網(wǎng)絡設備來轉(zhuǎn)發(fā)其流量，以實現(xiàn)如下目的。

• 利用該代理平臺來提供代理服務謀取利益。
• 利用僵尸流量轉(zhuǎn)發(fā)功能來對目標實施如 HTTP 攻擊。
• 利用這些網(wǎng)絡設備來構(gòu)建一個多級中轉(zhuǎn)站，為黑客提供攻擊掩護、身份隱藏等基礎(chǔ)設施。

該蠕蟲具備以下特點：

1. 該蠕蟲擁有強大的可升級的弱口令密碼表，蠕蟲感染時利用的弱口令表由服務器在后臺進行升級。
2. 蠕蟲感染行為較靈活，蠕蟲感染的目標可以由主控服務器指定，也可以由蠕蟲隨機生成感染的目標 IP。同時蠕蟲程序可以通過自帶的下載器下載或者利用 wget 或 tftp 程序從主控服務器下載。
3. 蠕蟲適配物聯(lián)網(wǎng)設備不同的架構(gòu)及軟件環(huán)境，該蠕蟲適配 mips、x86、arm、power pc、Hitachi 的不同的 CPU 架構(gòu)，兼容大端和小端的字節(jié)順序。在軟件環(huán)境方面，該蠕蟲適配帶 busybox 程序的環(huán)境和不帶 busybox 程序環(huán)境、適配帶 echo 程序的環(huán)境和帶 printf 程序的環(huán)境、適配帶 wget/tftp/echo/printf 的二進制回顯重定向的下載模式。
4. 收集大量設備的網(wǎng)絡數(shù)據(jù)信息。主控服務器不僅收集受感染設備的用戶名、密碼、系統(tǒng)環(huán)境信息，還收集無法連接或連接異常的設備的IP及出錯原因。我們推測黑客企圖建立強大的設備數(shù)據(jù)庫信息，為后續(xù)的攻擊建立基礎(chǔ)。

可以看出，該蠕蟲與其他類型的物聯(lián)網(wǎng)僵尸（如 Mirai、Hajime、Qbot、KTN-RM 等）相比具有控制更加靈活、感染成功率更高、隱蔽性更好等優(yōu)點。因而我們將這款新型的蠕蟲命名為“鯨鯊蠕蟲”。

2. 鯨鯊蠕蟲活躍量分析

在發(fā)現(xiàn)鯨鯊蠕蟲后，我們監(jiān)測了鯨鯊蠕蟲最近一個月（2017年6月）的活躍IP數(shù)據(jù)并以周為單位進行了統(tǒng)計分析，如下圖所示。

活躍數(shù)據(jù)由電信云堤提供根據(jù)活躍量柱狀圖顯示，在6月的第二周也就是6月8日至14日活躍量最高達到了 10975 個，而這個活躍量僅僅是當前所捕獲的單個 C&C 連接數(shù)量，也就是說僅在中國電信網(wǎng)絡中一個 C&C 所控制的物聯(lián)網(wǎng)設備就有上萬臺。而該蠕蟲絕不僅僅只有這么一個 C&C，按照黑客預配 C&C 的慣例，通常都會有多個 C&C，有的黑客組織還會預備幾十個，甚至成百上千個 C&C。因此，可以說目前所發(fā)現(xiàn)的感染設備僅僅只是該蠕蟲網(wǎng)絡的冰山一角。

此外，我們還對全國的感染設備數(shù)量做了進一步的監(jiān)測統(tǒng)計，繪制了如下鯨鯊蠕蟲的全國感染分布圖。

監(jiān)測數(shù)據(jù)由電信云堤提供從分布圖中可以看出，每個省份均有不同程度的感染，尤其是廣東省和江蘇省感染量最大，兩省感染數(shù)量總和接近全國感染量的50%。而這兩個省份同時也是攝像頭生成廠商最為密集、攝像頭安裝量最大的兩個省份。

3. 鯨鯊蠕蟲行為分析

3.1 行為分析

1. 受控的 IoT 設備上的蠕蟲程序主動連接主控服務器的 6765 端口，獲得相應的弱口令表信息。
2. 受控的 IoT 設備上的蠕蟲程序啟動多個進程連接新的 IoT 設備的 23 和 2323 端口的 telnet 服務，利用弱口令攻擊目標設備的 telnet 服務，嘗試感染并控制目標設備。下圖為受感染設備的 TCP 連接列表的信息，我們從第三列的 rem_address 可以看到設備嘗試連接了大量 IP 的 0x0017（23，telnet）端口。

1. 受控的IoT設備上的蠕蟲程序會在新的 IoT 設備的根目錄、/dev、/etc、/var、/var/tmp 上尋找一個可讀寫的目錄，下載一個 81c4603681c46036.*（根據(jù)目標CPU架構(gòu)的不同,有 armv4l、mips、i586、sh4 等不同后綴名。）的蠕蟲文件。
2. 被感染的 IoT 設備上的蠕蟲程序與主控服務器建立代理網(wǎng)絡,并將其用于中繼惡意流量以掩飾真實來源。

3.2 蠕蟲的核心流程

1. 綁定 10000 和 20000 端口，保證只有一個蠕蟲的主進程在運行。
2. 查詢主機的 telnet 服務對應的 pid，kill 該 pid 對應服務進程。
3. 綁定 23 端口，防止被別的進程占用（禁止 telnet 服務再次被打開，或者被別的蠕蟲利用弱口令進入）。
4. 連接主控服務器的 6745 端口進行登錄驗證。
5. 如果驗證成功，則接收主控服務器返回的數(shù)據(jù)，獲得新的主控服務器的ip和端口號（6755 端口，6765 端口）。
6. 從主控服務器獲取 16 字節(jié)的數(shù)據(jù)，作為后續(xù)隨機數(shù)的初始向量。
7. 啟動網(wǎng)絡代理子進程。
8. 啟動蠕蟲感染子進程。

3.3 蠕蟲感染的主要流程

1. 蠕蟲程序連接主控服務器的 6765 端口，進行登錄驗證。
2. 從主控服務器獲取弱口令列表（共300組）。
3. 蠕蟲程序產(chǎn)生 100 個 IP，給每個隨機 IP 發(fā) tcp syn 包，探測這些隨機 IP 的 23/2323 端口是否打開。
4. 檢測目標設備的 CPU 架構(gòu)。
5. 在目標設備上尋找可以讀寫的目錄。
6. 調(diào)用 wget/tftp/echo/printf 程序下載蠕蟲。
7. 向主控服務器上報目標IP攻擊的結(jié)果，包括目標 IP、端口號、成功/失敗原因、弱口令密碼表索引值、目標IP的設備架構(gòu)和軟件架構(gòu)。

3.3.1 登錄驗證

蠕蟲向主控服務器的 6765 端口發(fā)送特定的 TCP 數(shù)據(jù)包，主控服務器根據(jù)驗證結(jié)果，給蠕蟲下發(fā)驗證結(jié)果。

3.3.2 獲取弱口令表

如果登錄驗證通過，蠕蟲程序會從主控服務器獲取弱口令數(shù)據(jù)。

3.3.3 搜索感染目標

蠕蟲掃描隨機產(chǎn)生的 IPv4 地址并且嘗試連接它們的 23/2323 端口，如果連接成功，再嘗試使用主控端提供的 300 組密碼進行隨機嘗試。

3.3.4 判斷目標設備的CPU架構(gòu)

蠕蟲程序通過 dump 目標設備 busybox 程序的22字節(jié)的 elf 文件頭，來判斷目標設備的 CPU 架構(gòu)。根據(jù)不同的 CPU 架構(gòu)，下載不同的蠕蟲程序。

3.3.5 軟件環(huán)境適配

蠕蟲程序在軟件環(huán)境適配方面做了很大的工作，可以適配多種目標設備的軟件環(huán)境。

3.3.6 監(jiān)測可讀寫的目錄

測試根目錄、/dev、/etc、/var、/var/tmp 目錄的讀寫能力,尋找可以讀寫的目錄。

3.3.7 下載蠕蟲

在目標設備上通過 wget 或 tftp 下載對應設備 CPU 架構(gòu)的蠕蟲，并修改程序的可執(zhí)行權(quán)限，然后運行蠕蟲。

如果目標設備不存在 wget 或 tftp 程序，則通過 echo 或 printf 方式向目標設備推送下載器，然后在目標設備執(zhí)行下載器程序，下載并運行蠕蟲程序。

蠕蟲程序內(nèi)嵌下載器包括了 arm、mips、power pc 及 sh架構(gòu)。

下載器可以通過 HTTP GET 請求的方式從黑客服務器上下載“鯨鯊蠕蟲”執(zhí)行。

3.3.8 攻擊結(jié)果信息上報

蠕蟲的感染子進程會將目標 IP 的攻擊結(jié)果上報給主控服務器。

3.4 網(wǎng)絡代理實現(xiàn)流程

1. 連接主控服務器的 6755 端口，與主控服務器進行登錄驗證，利用報文校驗值進行認證。
2. 從主控服務器中讀取數(shù)據(jù)，然后從數(shù)據(jù)中取出目標設備的 IP 和端口號，以及要下發(fā)的數(shù)據(jù)。
3. 連接新的目標設備的 IP 和端口，將要轉(zhuǎn)發(fā)的數(shù)據(jù)發(fā)出去。
4. 接收目標設備返回的數(shù)據(jù)。
5. 將返回的數(shù)據(jù)發(fā)給主控服務器。

3.4.1 登錄驗證

蠕蟲向主控服務器的 6755 端口發(fā)送特定的 TCP 數(shù)據(jù)包，主控服務器根據(jù)驗證結(jié)果，給蠕蟲下發(fā)驗證結(jié)果，驗證通過后繼續(xù)后續(xù)流程。

3.4.2 接收要轉(zhuǎn)發(fā)的數(shù)據(jù)

從主控服務器接收要轉(zhuǎn)發(fā)的數(shù)據(jù)及目標 IP 和端口號。

3.4.3 連接目標地址

一旦接收到主控服務器發(fā)來的攻擊目標的 IP 和端口號，蠕蟲程序會主動連接目標。

3.4.4 發(fā)送轉(zhuǎn)發(fā)的數(shù)據(jù)

蠕蟲可以將從主控服務器接收到的數(shù)據(jù)，發(fā)送到目標IP。

3.4.5 轉(zhuǎn)發(fā)目標IP接收到的數(shù)據(jù)給主控服務器

蠕蟲將目標返回的流量數(shù)據(jù)轉(zhuǎn)發(fā)給主控服務器。

4. 總結(jié)

根據(jù)以上的分析可以看出，鯨鯊蠕蟲既沒有提供攻擊模塊，也沒有提供擴展組件的下載執(zhí)行，因此對于鯨鯊蠕蟲本身而言，黑客當前的目的并不在于攻擊而是在于利用蠕蟲傳播的手段來搭建一個代理網(wǎng)絡平臺。此外，鯨鯊蠕蟲還會將掃描感染階段的所有設備信息都上傳到主控端，無論是已成功感染還是未成功感染的設備，這樣黑客可以依據(jù)這些信息來制定更有針對性的弱密碼表進行下發(fā)，以感染更多的設備。該蠕蟲構(gòu)建的網(wǎng)絡最大的威脅可能在于，被利用來作為惡意攻擊的地下網(wǎng)絡，使得原攻擊者難以被追蹤。