一個典型僵尸網絡淺析
責編:admin |2015-02-10 16:31:17某公司安全平臺部在工作過程中會檢測到各類僵尸網絡,本文將分析一典型僵尸網絡(以下簡稱botnet)的架構。
《大話西游》 “反正我要死,你就幫個忙。我聽說如果刀子出得快部位準,把人剖開后人不會馬上死掉,眼睛還能看得見。你就幫個忙出手快點,把我的心挖出來讓我看一看,行不行?”
被攻擊是難免的,如果檢測得快,我們能發現敵人做了什么,及時控制其蔓延危害網絡,亡羊補牢為時未晚。
1. 僵尸網絡傳播
botnet或蠕蟲,一個重要的特征就是自動傳播能力,這里介紹2類常見的傳播方式。
1.1漏洞傳播
為了快速獲取大量被控僵尸肉雞,攻擊者會及時更新攻擊模塊。筆者有一個經驗,每次在檢測到有新一波攻擊手法時,去查查最近公開的漏洞或許就能看到。
同時作為僵尸網絡大范圍的攻擊行為(甚至是漫無目的的),幾乎可以預見到的是他的行為和攻擊方式100%會被偵察到,所以他們不會使用最新0day。
用1day是權衡兩者最經濟的方式,并且偏愛能直接執行命令的類型,譬如:struts2 RCE、JBoss DeploymentFileRepositoryWAR Deployment、CVE-2012-1823(PHP-CGIRCE)等。
1.2自動化攻擊工具
漏洞常有,而裝有存在漏洞的軟件的服務器不常有,但人的弱點總是避免不了的。比如弱口令問題,現如今最古老的弱口令猜解攻擊依然存在,sshftp
dp elnet等等,加之tomcat管理后臺等各種口令。現在越來越快的網速,越來越強的硬件性能使之效率越來越高。
2. 僵尸網絡架構
接下來講講最近在捕獲的一個僵尸網絡,其功能特點非常具有代表性。以下是其各功能模塊分析。
2.1下載者
負責接收控制者指令,下載更新功能模塊。
2.2傳播中繼站
僵尸網絡制造者為了隱蔽自己也避免整個botnet被搗毀,他不可能將傳播源集中到一個地方,所以常常在肉雞上建立中繼站。
在這個案例中,它會搭建一個簡易的webserver來實現。
2.3被控端
作為一個僵尸傀儡最主要就是“聽話”,此次案例它采用的是irc通道。這里他預設了2個域名作為server通訊地址,而域名解析到的IP是可隨時更換的,ircbot隨機連接到任一個server。
此ircbot有多個基礎功能,如DDOS、執行命令、自殺、更換server、切換靜默狀態(Disables all packeting)等。
2.4肉雞功能
Ircbot都是那些古老的功能,下面這些常常才是各種不同BotNet特有的。
(一) 漏洞掃描攻擊
本案例中是php CGI的RCE (CVE-2012-1823)
vir:~/tl/aa/tmp # lsChangeLog Makefile TODO bm.h inst ipsort ipsort.sgml php.c pnscan.1 pnscan.o version.c wsLICENSE README bm.c bm.o install-sh ipsort.1 php pnscan pnscan.c pnscan.sgml version.ovir:~/tl/aa/tmp # head php.c/* Apache Magica by Kingcope *//* gcc apache-magika.c -o apache-magika -lssl *//* This is a code execution bug in the combination of Apache and PHP.On Debian and Ubuntu the vulnerability is present in the default installvir:~/tl/aa/tmp # cat ws#!/bin/bashwhile [ 1 ]; do# ___A=`echo $(( (($RANDOM<<15)|$RANDOM) % 255 + 0 ))` ___A=`echo $(( $RANDOM % 255 + 0 ))` ___B=$(( ((RANDOM<<15)|RANDOM) % 255 + 0 )) ./pnscan -w"HEAD / HTTP/1.0
" -r"Server: Apache" -t 1000 $___A.$___B.0.0/16 80 #echo $___A.$___B#sleep 20done
(二) 挖礦奴隸
現在的”黑客”早已不是之前崇尚自由、崇尚技術極致的時代了,金錢才是他們最終目的,所以我們也在此botnet中發現了“挖掘機”,并且喪心病狂的的黑客同時進行2種網絡匿名貨幣的挖掘Protocoin和Primecoin,充分榨干系統性能。
Protocoin 挖掘機
8cec4e7cc9eb8ad13ee4ec7241bfa1d6.png
Primecoin 挖掘機
(三) 提權
此案例中的攻擊者并不滿足于web漏洞進來獲得的普通權限,還通過系統漏洞,以及社工(信息采集)方式獲得root權限。
系統提權漏洞工具
爬取conf用于密碼root猜解
通過上述分析,我們可以看到此僵尸網絡利用CVE-2012-1823漏洞大肆傳播,并且利用被控的肉雞進行2種網絡貨幣的挖掘,充分榨取肉雞系統資源。
BotNet 架構
3.應對僵尸網絡威脅
Botnet攻擊嘗試統計
以上是近期檢測到的botnet攻擊嘗試趨勢統計。Botnet從建立到覆滅是有其生命周期的,如果發現得早是可以及時修補漏洞,建立阻斷策略,避免其危害擴散。
BotNet 生命周期
日常安全工作中通過對入侵檢測數據的分析,能感知到僵尸網絡的演變以及0day1dayNday的攻擊趨勢。當僵尸網絡在其初期,尚未形成規模之時,如果及時聯合業界安全聯盟加以打擊,必將其扼殺在搖籃。合作形式可包含但不限于以下方式:
騰訊自有業務和服務器的規模龐大,作為一個目標巨大的“靶場”又是一個分布式的大“蜜罐”,我們可以充分挖掘其數據潛力幫助業界共同提升安全水平,但相比整個互聯網環境來說又是微不足道的。