Botnet趋势漏洞利用状况分析

执行摘要

在过去的一年中，世界遭受了新冠疫情的袭击，生产生活受到了极大的影响。但在网络世界中，僵 尸网络作为多年来的主要威胁形式之一，并未受到疫情的影响，反而更加活。今年，绿盟科技和国家 互联网
应急中心（CNCERT）联合发布僵尸网络威胁年报，旨在全方位展示 2020 年度僵尸网络威胁发 展情况，深度挖掘僵尸网络威胁事件。一月初，伏影实验室
首次在 IoT家用设备中发现以流量劫持为主要攻击手段的僵尸网络木马家族⸺ Pink，其主要利用广告植入技术，进行非法牟利。从二月开始，国际黑产团伙利用 COVID-19相关信息为诱饵，制作钓鱼邮件，肆意传播僵尸网络木马， 发动此类攻击的代表性邮件僵尸网络有 Emotet、NetWire 等。与此同时，沉寂许久的 Trickbot
、Necurs 家族卷土重来，投递大量与疫情、工作岗位招聘、欺诈链接等内容有关的恶意邮件。本年度，DDoS 僵尸网络家族活动依然以 Mirai 和 Gafgyt 为代表的传统 IoT 木马家族为主导。这些 传统 IoT 木马以增加新型漏洞及通信控制方式为手段，发展新型变种。在这种迭代的过程中，产生了 Mozi 和 BigViktor等新型 IoT 木马，进一步
加剧了 DDoS 僵尸网络的内斗态势。僵尸网络在横向移动方面的探索愈加深入，在漏洞利用方面逐渐具备了 “当天发现，当天利用” 的能力。以 Mirai 僵尸网络木马变种 Fetch 为例，运营该变种的黑产团伙已经具备快速武器化能力，能 够第一时间获取新公布的漏洞利用代码并将其组合至木马程序中。这种高效的响应和利用能力极大高 了黑客对维护不及时的物联网
设备的入侵效率。僵尸网络在对抗性方面也展现出了发展与变化。由于网络管理者近年来大量使用蜜罐设备进行僵尸 网络的探测和识别工作，使得攻击者开始针对一些开源的蜜罐进行分析并采取反制策略。在这一趋势下， 一些黑客定制了 Aisuru 等 Mirai 变种木马，以检测蜜罐环境。
在控制协议方面，僵尸网络家族加速向 P2P 控制结构转变。今年，我们追踪了以 Mozi 为代表的使 用 P2P 协议的家族。Mozi 家族通过使用“认证证书”的形式对加入的节点进行身份校验，同时对通信 流程和通信内容加密，提高了僵尸网络的隐匿度和顽固程度。
伏影实验室在追踪和检测僵尸网络的活动中，发现了一些 APT组织的活动痕迹，通过对 APT组织 的追踪和研判，发现 APT组织在 2020 年更新了一系列工具及技术。在这些新技术和工具中最为突出的是侧载攻击、利用邮件作为 C2 信道的攻击手法，以及一个新的 MATA恶意软件框架，可以针对所有设 备平台生成攻击工具。
通过对 2020 年僵尸网络发展趋势的梳理，我们认为，僵尸网络运营者已经能够将威胁情报、开源 社区情报快速转化为攻击手段，逐步扩大攻击、防御的时间差与信息差，通过快速部署和迭代，持续 升对互联网设备和用户的威胁能力。

年度图谱⸺ 国内外僵尸网络威胁全景

本年度，Windows、Linux 和 IoT 三大平台依然是僵尸网络木马的重要活动空间。各家族及变种在 基本代码框架早已确定的基础上，其更新频繁集中于完善攻击链和横向传播机能上。这一点在 IoT 僵尸 网络家族上表现得尤为明显，大量 Nday 漏洞的使用极大丰富了它们的横向传播手段，而越来越多复杂 的漏洞利用链则侧面体现了僵尸网络控制者技术能力的升级。

漏洞利用状况分析

IoT 环境仍然是各类漏洞攻击的重灾区，且攻击用到的漏洞年代跨度相对较长。造成这种局面的原 因是多方面的：
首先是 IoT 设备往往运行在物联网环境下，且长期缺乏人为干预，使得攻击者有机可乘且不易被用
户察觉。
其次，IoT 厂商众多，技术水平和设备质量参差不齐。而 IoT 设备是比较复杂的设备，往往包含网 络连接、数据连接、数据处理、智能应用等多种不同的技术，分别存在不同程度的安全风险，比如可能 使用到不安全的网络协议、云服务或者供不安全的软件更新，认证强度不够及缺乏足够安全可靠的 Web 组件等。
再次，IoT 设备用户很少修改初始用户名和口令，导致弱口令成为重大风险。
最后，当漏洞出现时，一些 IoT 设备的漏洞修补操作相对复杂，导致用户几乎不会主动对 IoT 设备 进行升级。而另一方面，很多设备更新时并未实现完整性校验，无法确保更新内容的安全性。
根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据，本年度 IoT 僵尸家族的恶意载荷 漏洞利用种类个数再次超过 100，占比情况与往年类似，仍以 CVE-2017- 17215（Huawei HG532 命令 注入漏洞）、CVE-2014-8361（Realtek rtl81xx SDK 远程代码执行漏洞）和 ThinkPHP 远程命令执行漏 洞为主。

根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据，本年度排名前 20 的漏洞利用信 息以及受影响的厂商设备或组件如下：
表 1　IoT 平台热点漏洞与设备 / 组件对应

漏洞名称	受影响设备或组件
CVE-2017-17215	华为 HG532 产品
CVE-2014-8361	Realtek rtl81xx SDK
ThinkPHP 5.X Remote Command Execution	ThinkPHP 5.0.23/5.1.31
CVE-2018-10561	GPON 家用光纤路由器
Linksys E series Unauthenticated Remote Code Execution	Linksys 多款路由器设备
ZyXEL P660HN T v1 ViewLog asp privilege escalation	ZyXEL P660HN-T路由器
JAWS Webserver unauthenticated shell command execution	JAWS Webserver
Eir D1000 Wireless Router WAN Side Remote Command Injection	Eir D1000 无线路由器
D-Link DSL Devices login cgi Remote Command Execution	D-link DSL 网络设备
Netlink GPON Router 1.0.11 Remote Code Execution	Netlink GPON 路由器

漏洞名称	受影响设备或组件
CVE-2015-2051	D-Link DIR-645 有线无线路由器
CVE-2020-10173	康全电讯路由器
CVE-2018-17173	LG webOS 的内容管理系统
Symantec Web Gateway 5.0.2.8 Remote Code Execution	Symantec_Web_Gateway
AVTECH IP Camera NVR DVR Devices Multiple Vulnerabilities	AVTECH视频设备
CCTV-DVR Remote Code Execution	CCTV-DVR视频设备
Netgear DGN1000 1.1.00.48 Setup cgi Remote Code Execution	网件 DGN1000 路由器
CVE-2016-6277	网件多款路由器
Zyxel P660HN Remote Command Execution	Zyxel_P660HN
Vacron NVR RCE	Vacron 网络视频设备
CVE-2020-5722	Grandstream UCM6200 企业级交换机
同时，根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据，虽然受活跃度等因素影响， 但是漏洞利用和受影响设备总体上与恶意载荷一致，受影响较大的设备或组件主要为 Realtek SDK、 JAWS DVR、网件路由器和华为 HG532 路由器。

此外，本年度也检测到大量新增漏洞的利用。根据 CNCERT物联网威胁情报平台及绿盟威胁识别系 统监测数据，在针对 IoT 设备的攻击活动中，对于新增漏洞，僵尸网络组织往往能以较快的速度将其利 用起来，这对安全团队的响应速度也提出了高要求。部分新增 CVE如下表所示：
表 2　IoT 平台部分新增漏洞

CVE编号	受影响设备或组件
CVE-2020-10173	Comtrend VR-3033
CVE-2020-5722	Grandstream UCM6200
CVE-2020-8515	DrayTek 企业级路由器
CVE-2020-7209	LinuxKI v6.0-1
CVE-2020-9054	ZyXEL NAS设备
CVE-2020-13782	D-Link DIR-865L Ax 1.20B01 Beta
CVE-2020-5902	BIG-IP
CVE-2020-8218	Pulse Connect Secure
CVE-2020-10987	Tenda AC 系列路由器
CVE-2020-3657	Google Android Qualcomm 闭源组件
CVE-2020-12109	TP-Link NC220
CVE-2020-9484	tomcat session
CVE-2020-17456	Seowon SLC-130、SLR-120S 路由器
随着疫情爆发，远程办公等办公场景兴起，利用钓鱼邮件传播僵尸网络木马仍然值得警惕，而大部 分钓鱼邮件通常会附带恶意诱饵文档，实现攻击活动。
通过对本年度文档类恶意代码的漏洞利用统计，可以发现公式编辑器漏洞 CVE-2017-11882 仍然是 出现频率最高的漏洞，该漏洞几乎影响到所有流行的 Office 版本，微软已经在 2017 年 11 月发布安全 补丁。该漏洞存在于公式编辑器 Equation Editor 中，潜伏多年，属于典型的栈溢出漏洞。

参考资料

绿盟 2020 DDoS攻击态势报告

友情链接

绿盟 容器安全技术报告