Botnet趋势Bigviktor

Bigviktor

2020 年 6 月,绿盟科技伏影实验室威胁捕获团队,根据 CNCERT物联网
威胁情报平台及绿盟威胁 识别系统监测数据,检测到数例针对 DrayTek Vigor 路由器的漏洞利用入侵事件,并确定此传播利用了 CVE-2020-8515 漏洞。根据捕获的流量,在攻击 payload 在执行过程中,还触发了大量疑似 DGA的流量。 经深入分析,我们发现这是一款全新的僵尸网络木马,可进行 DDoS 攻击及自更新。功能方面,该木马仍采用了传统的 DDoS 攻击模式,但作者未完成所有的功能设计
,部分攻击指令 对应模块为空,为未来扩展做下铺垫。图 12 BigViktor 主要 C&C通信流程
Bigviktor 通过 RC4 解密内置的 DGA词组字典,实现与 C&C的通信。经解密,我们发现其词组包含 了 100 个动词 (Verb)、1522 个名词 (Noun)、525 个形容词 (Adj)、40 个前缀 (Prefix) 和 20 个后缀 (Suffix), 最终形成的域名格式为 Prefix.Verb-Adj-Noun.Suffix。

表 4 Bigviktor DGA 算法关键词一览

Verb Noun Adj Prefix Suffix
be a able cam art
have ability acceptable video click
do abroad according x club
say abuse accurate a com
go access action www fans
get accident active ftp futbol
make account actual ssl
in know act additional
think action administ
rative www1 link take
see activity afraid noc nl
come actor after smtp observer
want ad afternoon pop one
look addition agent ssl
use address aggressive secure pictures
find administration ago images realty
give adult airline th rocks
tell advance alive img tel
work advantage all download top
call advertising alone mail xyz
try advice alternative remote
DGA域名需要 key 经过简单运算并拼接来组成,key 来自于访问 RC4 解密后的特定网址所获得的日 期(格式为 %b %Y 00:00)经 SHA256 运算后的前 4 字节。

表 5 用于获得时间 KEY的特定网站一览

jd.com weibo.com vk.com csdn.net okezone.com office.com xinhuanet.com
babytree.com livejasmin.com twitch.tv naver.com aliexpress.com stackoverflow.com tribunnews.com
yandex.ru soso.com msn.com facebook.com youtube.com baidu.com en.wikipedia.org
twitter.com amazon.com imdb.com reddit.com pinterest.com ebay.com tripadvisor.com
craigslist.org walmart.com instagram.com google.com nytimes.com apple.com linkedin.com
indeed.com play.google.com espn.com webmd.com cnn.com homedepot.com etsy.com
netflix.com quora.com microsoft.com target.com merriam-webster.com forbes.com tmall.com
baidu.com qq.com sohu.com taobao.com 360.cn tianya.cn
因此可知,每个月产生的 DGA域名都是不同的,且数量达到千余条。

图 15 Gobrut 针对 WordPress 网站的暴破 / 扫描指令占比
在受到暴破尝试攻击的网站顶级域名分布中,com 占据近一半数量,剩下的部分大多是各个国家的 顶级域名,这从某种程度上反映了当今 WordPress 网站的分布。
Botnet趋势Bigviktor_第1张图片
图 16 受 Gobrut 攻击的 WordPress 网站顶级域名分布

此外,该家族还有着一定的子域名搜集能力。伏影实验室发现,在扫描指令给定的目标中,不乏一 些超长的多级子域名,最多甚至高达 19 级,如下图所示:
Botnet趋势Bigviktor_第2张图片
图 17 受到扫描的超长多级子域名
这表明攻击者很可能使用了子域名暴破手段来进行子域名挖掘。子域名暴力破解指的是通过自动化 枚举的方式来探测某域名拥有的次级域名。由于子域名在渗透中可能成为突破口,所以受到攻击者的青 睐。
由此可见,Gobrut 的控制者在后台拥有较为完善和健全的域名采集和挖掘机制,并利用分布式僵尸 网络在海量基数的域名条目中发现脆弱网站,进行非定向的无差别攻击。

参考资料

绿盟 2020 DDoS攻击态势报告

友情链接

绿盟 新型IoT机顶盒恶意软件Rowdy网络分析报告

你可能感兴趣的:(ssl,网络,网络协议)