新型IoT机顶盒恶意软件Rowdy网络分析报告
2017-10-13
执行摘要
2017年8月,ylzz总站线路检测DDoS态势感知平台监控到某客户的网络带宽流量存在异常情况,经分析确认是DDoS攻击事件。攻击类型多样,包括TCP Flood、HTTP Flood、DNS Flood等。通过对攻击源IP进行溯源,发现攻击来自有线电视的终端设备--机顶盒,然后提取了相关样本,进一步分析其攻击行为特征。
· 传播机制
ylzz总站线路检测在8月捕获的这个样本,经过分析发现它一旦植入机顶盒,就立即扫描,发送大量的数据包,并不断的与C&C控制服务器通信,根据样本的这个特征,ylzz总站线路检测将其命名为Rowdy。在通过对Rowdy样本的分析中,发现其功能及行为特征与物联网恶意软件Mirai极为相似。
2016年10月,美国域名解析服务提供商Dyn公司受到强力DDoS攻击,导致美国遭受大面积的网络瘫痪,很多知名网站无法登陆。事后确认,攻击流量来源之一是感染了Mirai僵尸的物联网设备,以摄像头设备为主。这是第一次大规模的物联网设备组成的僵尸网络发起的DDoS攻击。
经过对比发现,Rowdy其bot上线方式与Mirai相同,ddos攻击代码一致,代码结构基本无变化,基于这些特征已经可以确定,Rowdy样本是Mirai物联网恶意软件的变种,虽然入侵方式同样是破解设备弱口令,但采用加壳措施进行自我保护,并采用一定的算法隐藏C&C控制服务器地址,通信端口1992。
这里需要大家密切关注的是,Mirai恶意软件经过改造后,实现了从摄像头等视频监控系统向机顶盒物联网设备的跨越,这无疑大幅度扩展了其传播范围。ylzz总站线路检测的专家随即对Rowdy物联网恶意软件的传播进行了跟踪分析,以求评估其影响范围。
· 影响范围
经过评估发现,Rowdy在短短数月时间已经形成了规模不小的Bot僵尸网络,感染的设备涉及国内5家厂商。国内的机顶盒使用量有多大?据国家统计局2月份发布的《中华人民共和国2016年国民经济和社会发展统计公报》显示,该设备实际用户到达2.23亿户,同时据奥维云网《2017年中OTT运营大数据蓝皮书》显示,该设备实际用户达到2.4亿台。如此庞大的网络,一旦被Rowdy快速渗透,带来的后果不堪设想。
在跟踪调查中发现,Rowdy-Bot僵尸网络已经开始向外发起DDoS攻击,我们监控到的国内受控制僵尸主机已达2000多台,其中东南部沿海地区为重灾区。详见 下一章《Rowdy僵尸网络分析》。
Rowdy僵尸网络所控制的机顶盒数量如果达到一定量级,它所发动的DDoS攻击能量将远超Mirai僵尸网络,毫无疑问将对互联网服务造成重大破坏。幸运的是,在绿盟威胁情报中心NTI、绿盟DDoS全球态势感知平台ATM以及绿盟抗拒绝服务系统ADS联动下,及时检测并截获到这个最新的物联网僵尸网络,并将该情况及时通知客户,从而在其萌芽阶段进行了有效处理。
· 报告内容
为了让大家警惕Rowdy-Bot僵尸网络及其后续可能出现的DDoS攻击威胁,本篇报告详细分析了Rowdy-Bot僵尸网络及Rowdy物联网恶意软件,并对其进行预警。在报告中,您可看到Rowdy-Bot僵尸网络的感染方式和影响范围,并可以看到攻击者画像。相关机顶盒及更大范围的物联网设备厂家,请务必仔细阅读本报告中技术性分析,并及时部署安全设备和更新安全规则,检测和防护Rowdy-bot僵尸网络,对后续可能引起的攻击进行防护。如果您需要快速获取Rowdy物联网恶意软件IoC信息,请直接查阅本报告附录部分。
Rowdy僵尸网络威胁情报
Rowdy僵尸通过自动化扫描方式传播感染,构成整个僵尸网络。首先,会对目标设备进行扫描,利用内置用户名/口令字典,尝试登录Telnet服务。然后,便通过设备的busybox工具下载并执行恶意病毒程序。
Rowdy样本支持多个平台,包括x86、ARM、MIPS。僵尸网络能发动多种DDoS攻击类型,包括 HTTP Flood、SYN Flood、UDP Flood、DNS Flood、ACK Flood、VSE Flood、GRE IP Flood。组成僵尸网络的设备均为上网出口设备,因此该僵尸网络具备发起大规模、大流量DDOS攻击的能力。
Rowdy样本植入方式和攻击行为与Mirai极为相似,经过代码层面的详细分析,二者还是存在着差异。相同点和不同点,如下表所示。
|
对比项目 |
Mirai样本 |
Rowdy样本 |
|
运行平台 |
全平台 |
全平台 |
|
传播 |
telnet弱口令破解 |
telnet弱口令破解 |
|
排他性 |
√ |
× |
|
远程下载文件 |
√ |
√ |
|
隐藏进程 |
√ |
× |
|
监听端口 |
48101 |
1992 |
|
C&C控制服务器 |
硬编码存储 |
经过计算得出 |
|
DDoS攻击能力 |
√ |
√ |
|
自身保护 |
× |
加壳 |
|
植入工具 |
busybox |
busybox |
解决方案建议
· 本地蠕虫网络的检测
为了防止Rowdy样本在网络中持续扩散造成影响,以及僵尸网络对外发起DDoS攻击消耗业务带宽,我们建议尽快对本地网络终端的Rowdy僵尸主机进行检测和清理,并修改设备口令。
使用网络安全设备检测或者扫描工具主动扫描都可以发现并定位可疑终端。入侵检测设备对网络流量持续检测,可以发现受Rowdy蠕虫感染的网络终端;扫描工具对网络进行端口扫描,对开放1992端口的设备扫描定位,确认感染终端后进行清理。
· DDoS防护
从上文对Rowdy物联网恶意软件的分析中可知,受Rowdy感染的僵尸网络具备发起多种复杂DDoS攻击的能力。当遭受此类攻击时,可以通过部署本地或者云端的抗拒绝服务系统进行流量清洗。ylzz总站线路检测的DDoS防护专家指出有效防护DDoS攻击需要考虑以下三部分,并根据实际攻击场景进行组合:
结语
Rowdy僵尸网络处在萌芽阶段就被发现,得到及时有效的处理,这得益于有关部门的应急处置,并获得绿盟威胁情报中心NTI、绿盟DDoS全球态势感知平台ATM以及绿盟抗拒绝服务系统ADS联动监控支持。
虽然Rowdy僵尸网络被遏制了,但是类似的物联网僵尸网络一定会再次出现。物联网设备,包括摄像头、路由器、智能电视、机顶盒、智能家居和可穿戴设备,只要接入互联网,就有可能成为攻击者的潜在目标。攻击者利用存在漏洞的物联网设备,尤其是缺省弱口令的设备,组成庞大的僵尸网络,为其发动大规模DDoS攻击做准备,威胁互联网安全。
Rowdy僵尸网络的发现,是对安全厂商和物联网设备提供商的又一次预警。
