殭屍網路Jenki家族IoT變種分析預警
一、 簡介
2017年7月26日,安天通過 威脅情報自動化監控系統捕獲新殭屍網路家族Trojan[DDoS]/Linux.Jenki.A(以下簡稱:Jenki),並於 8月4日在安全客外發表《一款國產 Linux DDoS殭屍網路家族Jenki分析》文章[1] 。經過分析,Jenki包含tcp flood 、udp flood、atk flood、cc flood 、http flood、dns flood等 6 種DDoS攻擊類型,從DDoS攻擊類型來說已經是比較全面。
然而僅僅過去一個半月時間,近期,威脅情報自動化監控 系統再次捕獲到Jenki的新家族變種實現從linux x86領域拓展到IoT 和Windows領域,使該殭屍網路快速覆蓋多種平台操作系統,因此猜測其幕後應該有一個長期從事黑產工具開發的技術團隊支撐。目前,Jenki botnet的被控端木馬已經在Windows、IoT、Linux三大領域上迅速擴散,已知感染方式主要是通過其他家族的botnet進行交叉感染,一旦設備被感染並執行DDoS攻擊,將會輕易癱瘓一個中、大型公司的網路。
二、 詳細分析
2.1
樣本基本信息
表
2木馬樣本基本信息
| 病毒名稱 | Trojan[DDoS]/Linux.Jenki.B |
|---|---|
| 樣本MD5 | c1ac31ed2f14d1afe4dc9a5117b844a4 |
| 樣本大小 | 735KB |
| 樣本格式 | ELF |
2.2
傳播方式分析
Jenki家族第一次被安天威脅情報自動化監控系統,是黑客通過利用Billgates botnet 進行交叉感染部署Jenki botnet時被安天威脅情報自動化監控系統捕獲;而此次是通過Nitol.A botnet 進行交叉感染Jenki botnet的Windows 環境的被控端木馬時捕獲,見圖 1 捕獲病毒交叉感染指令。
圖
1
捕獲病毒交叉感染指令然而,在安天威脅情報自動化監控系統將對應的樣本捕獲回來發現,裡面除了Jenki botnet 的被控端木馬,同樣還存在Billgates botnet的被控端木馬(見圖 2 hfs放馬站點),也充分表明該幕後黑客組織同時操控多個DDOS botnet。而且初步判斷幕後黑客組織很有可能是想通過新型 Jenki botnet具備的免殺效果替代之前的老舊且不安全的Billgates botnet,以提高自身的安全性和隱秘性。
圖
2
hfs放馬站點
2.3
木馬樣本詳細分析
目前捕獲的Jenki被控端木馬錶明,Jenki botnet已經在不到兩個月的時間內將被控端木馬快速拓展 Windows和IoT領域,被控端的主要遠程指令類型還是DDoS攻擊,相較於常見的 DDoS botnet 家族仍缺少Update Files、Remote Shell (或許後期會逐漸完善),而 DDoS攻擊主要包含tcp flood、udp flood、 atk flood、cc flood、http flood、 dns flood 6種攻擊類型,從目前的攻擊情報數據看,攻擊者主要傾向於是用dns flood攻擊為主。
調用解密函數。將硬編碼在木馬全局變數的C2密文」ki,dhlfmmv-ao」進行解密。其使用的加密演算法相對簡單,僅是使用凱撒位移加密(見 圖 3 C2解密演算法)。且通過原始的函數名稱」jiemihttp」 ,初步該家族應該屬於」國產」DDoS botnet。
圖
3
C2解密演算法在Jenki.A版本的配置解密演算法中,僅是對C2的IP/Domain進行加密,並沒有對Port進行加密;在Jenki.B版本中,Port需要使用不同演算法進行解密。
圖
4
Port解密演算法讀取fopen(「/proc/cpuinfo」, 「r」)獲取系統CPU配置信息。
通過讀取popen(「uname -a」, 「r」)獲取系統版本信息(圖 5系統配置信息 )。
圖
5
系統配置信息上線接收指令
新創建2個線程,第1個用於向C2 發送首包及心跳包信息,第二個用於接收C2的各種遠程指令
新線程1:主要是實現獲取CPU配置信息和CPU 使用率還有網路配置信息,並將其作為首包內容向C2發送,見圖 6向C2 發送通信數據包。
圖
6
向C2
發送通信數據包新線程2:接收並執行C2的各種遠程指令,其中主要是DDoS 攻擊指令,見圖 7 執行遠程指令;
圖
6執行遠程DDoS指令
經過詳細的協議分析,整理出以下協議分析表(見表 2協議數據表 3 攻擊類型):
表
2
協議數據| 名稱 | 偏移 | 備註 |
|---|---|---|
| Command_type | 0x0000-0x0004 | 65539:執行DDoS攻擊;65540、 65541:停止攻擊 |
| Attack_ip/domain | 0x0190-0x0290 | |
| Attack_type | 0x0290-0x0294 | 主要實現6種攻擊類型 |
| Attack_Threads | 0x0294-0x0298 | |
| Attack_Time | 0x029C-0x02A0 |
表
3
攻擊類型
| 攻擊向量 | 協議值 | 備註 |
|---|---|---|
| atk flood | 0x03, | |
| tcp flood | 0x01,0x02,0x12 | |
| http flood | 0x05,0x07,0x08, | |
| cc flood | 0x06,0x09, | |
| udp flood | 0x04, | |
| dns flood | 0x13, |
三、
捕風蜜網攻擊威脅情報
安天威脅情報自動化監控系統對該jenki botnet最早於 2017-07-29 10:46:46正式產出自動化監控的攻擊情報數據,目前(9月19日)監控到該家族 botnet共發起
26,138
次間接性DDoS攻擊(見圖5-1 發起攻擊時間分布),中間有10天時間中斷對該家族監控。從監控中的情報數據發現,幕後黑客更傾向於使用dns flood 反射型攻擊。通過對指定的 DNS伺服器(ns2.175dns.com、ns1.175dns.com)進行偽造源IP(攻擊目標 IP/Domain)進行域名查詢,藉助DNS伺服器的放大響應數據達到反射攻擊。從9月 19日一天監控的威脅情報數據中顯示,該家族已經共發起8起攻擊事件,44次間歇性 DDoS攻擊,見表 4威脅情報數據。表
4
威脅情報數據| 攻擊目標 | 攻擊類型 | 攻擊次數 | 攻擊開始時間 | 攻擊結束時間 |
|---|---|---|---|---|
| 101.71.103.50 | tcp flood | 23 | 2017-09-19 23:48:28 | 2017-09-20 00:44:04 |
| 101.71.103.161 | tcp flood | 1 | 2017-09-19 23:48:02 | 2017-09-19 23:48:02 |
| 180.101.45.40 | tcp flood | 5 | 2017-09-19 23:18:44 | 2017-09-19 23:34:54 |
| 103.198.75.42 | tcp flood | 4 | 2017-09-19 22:18:42 | 2017-09-19 22:27:47 |
| 43.227.216.36 | tcp flood | 1 | 2017-09-19 20:29:25 | 2017-09-19 20:29:25 |
| wx.hfrazyy.com | cc flood、http flood | 2 | 2017-09-19 20:22:58 | 2017-09-19 20:22:52 |
| 43.225.123.168 | tcp flood | 1 | 2017-09-19 19:17:56 | 2017-09-19 19:17:56 |
| 45.126.123.111 | tcp flood | 7 | 2017-09-19 18:52:20 | 2017-09-19 19:09:34 |
圖
8
發起攻擊時間分布
四、
Jenki
發展態勢預測Jenki家族能在如此短的時間內實現如此大的功能和版本變異,相信後面必定有一個長期從事黑產工具開發的強大技術團隊支撐。因此,Jenki botnet後期繼續變異已是毋庸置疑的,而後期 Jenki botnet將會向哪些方向完善和功能拓展值得考究和預測。對此,我們將從被控端木馬功能和他「抓雞」部署botnet兩個角度進行預測:
被控端功能預測:
Jenki botnet在DDoS攻擊模式上已經相對完善和成熟( 6種DDoS攻擊類型),但在其他方面上就略顯欠缺,例如:缺失Remote Shell和 Update Files等功能類型。因此,預測Jenki botnet後期的變異版本將會實現Remote Shell和 Update Files等功能,因為Remote Shell 可以進一步實現對「肉雞」遠程控制和數據竊取;Update Files 可以實現快速部署新的被控端木馬同時也可以植入其他家族的新木馬實現「一雞多用」,就像Nitol和Billgates等botnet ,可以分別通過Update Files、Remote Shell進行快速部署Jenki botnet 的新樣本,而Jenki botnet為了擺脫對其他botnet的依賴,後期應該會在這兩方面進行完善。「抓雞」功能預測:
目前Jenki家族的被控端木馬已經橫跨Windows、Linux 、IoT三大領域,而各領域的高危漏洞及其poc頻繁被公開,Jenki 幕後黑客團隊應該不會輕易放棄這些存在漏洞且基數龐大的潛在「肉雞」設備。通過自動化批量漏洞利+自動化被控端木馬植入實現自動化批量快速「抓雞」,應該是Jenki botnet後續變異版本的功能拓展方向之一。然而,自動化「抓雞」功能是通過專用自動化漏洞工具實現還是直接將漏洞利用 poc代碼嵌入被控端木馬呢?預測將會根據不同環境領域的被控端木馬使用不同的自動化「抓雞」方式。Windows領域應該會直接利用目前地下黑產流行的「永恆之藍」和st2 兩種自動化漏洞利用工具實現Jenki botnet快速「抓雞」部署;Linux領域因為地下黑產存在的自動化漏洞利用「抓雞」工具並不多(目前沒有發現),所以可能仍然延續使用其 botnet實現快速「抓雞」;境內地下黑產已經存在對某些廠商的攝像頭的自動化漏洞利用「抓雞」工具和ssh、telnet 爆破工具,因此Jenki botnet後續變異版本也可能會通過這種方法快速抓取IoT領域的「肉雞」。五、
「
肉雞」情報通過電信雲堤在骨幹網關設置C2過濾篩查,僅在2017-0 9-19 便捕獲到13870+「肉雞」與C2存在通信,從「肉雞」量相較於其他DDoS botnet家族 略少,可能是因為新家族嘗試部署,正處於botnet 部署發展前期。然而,Jenki botnet可以在Linux、Windows、IoT三大領域進行「抓雞」,後期的Jenki botnet將會類似Dofloo botnet那樣每個botnet都擁有龐大的「肉雞」群,而且這一刻應該會在不久出現!
六、
總結
安天威脅情報自動化監控系統捕獲了發現存在Billgates(Setag )botnet被控端木馬樣本,結合最近監控到的Billgates botnet攻擊情報數據並不多,以及通過Billgates botnet 部署挖礦木馬(b245362aa364f94496380cfd2f002493)現象猜測,幕後黑客團隊可能考慮到Billgates botnet的老舊以及安全性,開始逐漸放棄使用 Billgates家族並研發出新型且具有一定免殺能力的Jenki botnet替代。Jenki botnet黑客團隊以驚人的速度實現對 Jenki botnet被控端的功能優化和平台環境拓展,Jenki botnet對互聯網的安全威脅已是不能忽視,因此也提醒廣大安全友商重視新家族Jenki botnet 的存在及其威脅,也提醒廣大互聯網用戶安全、健康上網,安裝殺毒、防毒軟體並及時修補設備漏洞!如果有用戶感染Jenki botnet 的被控端木馬,請及時使用安天智甲工具或者安天linux 版取證工具進行木馬清除[5]。
參考:
[1] http://bobao.360.cn/learning/detail/4199.html —一款國產 Linux DDoS殭屍網路家族Jenki分析
[2] http://www.antiy.cn/baogao/485.html —安天透過北美DDoS事件解讀loT設備安全
[3] http://www.antiy.com —安天官網
[4] http://www.avlsec.com —安天移動官網
[5]
http://www.antiy.com/tools.html
— 安天免費工具包*本文作者:放牛娃,轉載請註明FreeBuf COM
※【FB TV】一周「BUF大事件」:國家網路安全宣傳周在上海舉行;WitAwards 2017「年度品牌影響力」評選正式啟動
※Chrome XSS審計之SVG標籤繞過
※卡巴斯基2017第二季度APT趨勢分析報告
TAG:FreeBuf |