Botnet趋势漏洞利用状况分析

执行摘要

在过去的一年中,世界遭受了新冠疫情的袭击,生产生活受到了极大的影响。但在网络世界中,僵 尸网络作为多年来的主要威胁形式之一,并未受到疫情的影响,反而更加活。今年,绿盟科技和国家 互联网
应急中心(CNCERT)联合发布僵尸网络威胁年报,旨在全方位展示 2020 年度僵尸网络威胁发 展情况,深度挖掘僵尸网络威胁事件。一月初,伏影实验室
首次在 IoT家用设备中发现以流量劫持为主要攻击手段的僵尸网络木马家族⸺ Pink,其主要利用广告植入技术,进行非法牟利。从二月开始,国际黑产团伙利用 COVID-19相关信息为诱饵,制作钓鱼邮件,肆意传播僵尸网络木马, 发动此类攻击的代表性邮件僵尸网络有 Emotet、NetWire 等。与此同时,沉寂许久的 Trickbot
、Necurs 家族卷土重来,投递大量与疫情、工作岗位招聘、欺诈链接等内容有关的恶意邮件。本年度,DDoS 僵尸网络家族活动依然以 Mirai 和 Gafgyt 为代表的传统 IoT 木马家族为主导。这些 传统 IoT 木马以增加新型漏洞及通信控制方式为手段,发展新型变种。在这种迭代的过程中,产生了 Mozi 和 BigViktor等新型 IoT 木马,进一步
加剧了 DDoS 僵尸网络的内斗态势。僵尸网络在横向移动方面的探索愈加深入,在漏洞利用方面逐渐具备了 “当天发现,当天利用” 的能力。以 Mirai 僵尸网络木马变种 Fetch 为例,运营该变种的黑产团伙已经具备快速武器化能力,能 够第一时间获取新公布的漏洞利用代码并将其组合至木马程序中。这种高效的响应和利用能力极大高 了黑客对维护不及时的物联网
设备的入侵效率。僵尸网络在对抗性方面也展现出了发展与变化。由于网络管理者近年来大量使用蜜罐设备进行僵尸 网络的探测和识别工作,使得攻击者开始针对一些开源的蜜罐进行分析并采取反制策略。在这一趋势下, 一些黑客定制了 Aisuru 等 Mirai 变种木马,以检测蜜罐环境。
在控制协议方面,僵尸网络家族加速向 P2P 控制结构转变。今年,我们追踪了以 Mozi 为代表的使 用 P2P 协议的家族。Mozi 家族通过使用“认证证书”的形式对加入的节点进行身份校验,同时对通信 流程和通信内容加密,提高了僵尸网络的隐匿度和顽固程度。
伏影实验室在追踪和检测僵尸网络的活动中,发现了一些 APT组织的活动痕迹,通过对 APT组织 的追踪和研判,发现 APT组织在 2020 年更新了一系列工具及技术。在这些新技术和工具中最为突出的是侧载攻击、利用邮件作为 C2 信道的攻击手法,以及一个新的 MATA恶意软件框架,可以针对所有设 备平台生成攻击工具。
通过对 2020 年僵尸网络发展趋势的梳理,我们认为,僵尸网络运营者已经能够将威胁情报、开源 社区情报快速转化为攻击手段,逐步扩大攻击、防御的时间差与信息差,通过快速部署和迭代,持续 升对互联网设备和用户的威胁能力。

年度图谱⸺ 国内外僵尸网络威胁全景

本年度,Windows、Linux 和 IoT 三大平台依然是僵尸网络木马的重要活动空间。各家族及变种在 基本代码框架早已确定的基础上,其更新频繁集中于完善攻击链和横向传播机能上。这一点在 IoT 僵尸 网络家族上表现得尤为明显,大量 Nday 漏洞的使用极大丰富了它们的横向传播手段,而越来越多复杂 的漏洞利用链则侧面体现了僵尸网络控制者技术能力的升级。

漏洞利用状况分析

IoT 环境仍然是各类漏洞攻击的重灾区,且攻击用到的漏洞年代跨度相对较长。造成这种局面的原 因是多方面的:
首先是 IoT 设备往往运行在物联网环境下,且长期缺乏人为干预,使得攻击者有机可乘且不易被用
户察觉。
其次,IoT 厂商众多,技术水平和设备质量参差不齐。而 IoT 设备是比较复杂的设备,往往包含网 络连接、数据连接、数据处理、智能应用等多种不同的技术,分别存在不同程度的安全风险,比如可能 使用到不安全的网络协议、云服务或者供不安全的软件更新,认证强度不够及缺乏足够安全可靠的 Web 组件等。
再次,IoT 设备用户很少修改初始用户名和口令,导致弱口令成为重大风险。
最后,当漏洞出现时,一些 IoT 设备的漏洞修补操作相对复杂,导致用户几乎不会主动对 IoT 设备 进行升级。而另一方面,很多设备更新时并未实现完整性校验,无法确保更新内容的安全性。
根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据,本年度 IoT 僵尸家族的恶意载荷 漏洞利用种类个数再次超过 100,占比情况与往年类似,仍以 CVE-2017- 17215(Huawei HG532 命令 注入漏洞)、CVE-2014-8361(Realtek rtl81xx SDK 远程代码执行漏洞)和 ThinkPHP 远程命令执行漏 洞为主。

根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据,本年度排名前 20 的漏洞利用信 息以及受影响的厂商设备或组件如下:
表 1 IoT 平台热点漏洞与设备 / 组件对应

漏洞名称 受影响设备或组件
CVE-2017-17215 华为 HG532 产品
CVE-2014-8361 Realtek rtl81xx SDK
ThinkPHP 5.X Remote Command Execution ThinkPHP 5.0.23/5.1.31
CVE-2018-10561 GPON 家用光纤路由器
Linksys E series Unauthenticated Remote Code Execution Linksys 多款路由器设备
ZyXEL P660HN T v1 ViewLog asp privilege escalation ZyXEL P660HN-T路由器
JAWS Webserver unauthenticated shell command execution JAWS Webserver
Eir D1000 Wireless Router WAN Side Remote Command Injection Eir D1000 无线路由器
D-Link DSL Devices login cgi Remote Command Execution D-link DSL 网络设备
Netlink GPON Router 1.0.11 Remote Code Execution Netlink GPON 路由器
漏洞名称 受影响设备或组件
CVE-2015-2051 D-Link DIR-645 有线无线路由器
CVE-2020-10173 康全电讯路由器
CVE-2018-17173 LG webOS 的内容管理系统
Symantec Web Gateway 5.0.2.8 Remote Code Execution Symantec_Web_Gateway
AVTECH IP Camera NVR DVR Devices Multiple Vulnerabilities AVTECH视频设备
CCTV-DVR Remote Code Execution CCTV-DVR视频设备
Netgear DGN1000 1.1.00.48 Setup cgi Remote Code Execution 网件 DGN1000 路由器
CVE-2016-6277 网件多款路由器
Zyxel P660HN Remote Command Execution Zyxel_P660HN
Vacron NVR RCE Vacron 网络视频设备
CVE-2020-5722 Grandstream UCM6200 企业级交换机
同时,根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据,虽然受活跃度等因素影响, 但是漏洞利用和受影响设备总体上与恶意载荷一致,受影响较大的设备或组件主要为 Realtek SDK、 JAWS DVR、网件路由器和华为 HG532 路由器。

此外,本年度也检测到大量新增漏洞的利用。根据 CNCERT物联网威胁情报平台及绿盟威胁识别系 统监测数据,在针对 IoT 设备的攻击活动中,对于新增漏洞,僵尸网络组织往往能以较快的速度将其利 用起来,这对安全团队的响应速度也提出了高要求。部分新增 CVE如下表所示:
表 2 IoT 平台部分新增漏洞

CVE编号 受影响设备或组件
CVE-2020-10173 Comtrend VR-3033
CVE-2020-5722 Grandstream UCM6200
CVE-2020-8515 DrayTek 企业级路由器
CVE-2020-7209 LinuxKI v6.0-1
CVE-2020-9054 ZyXEL NAS设备
CVE-2020-13782 D-Link DIR-865L Ax 1.20B01 Beta
CVE-2020-5902 BIG-IP
CVE-2020-8218 Pulse Connect Secure
CVE-2020-10987 Tenda AC 系列路由器
CVE-2020-3657 Google Android Qualcomm 闭源组件
CVE-2020-12109 TP-Link NC220
CVE-2020-9484 tomcat session
CVE-2020-17456 Seowon SLC-130、SLR-120S 路由器
随着疫情爆发,远程办公等办公场景兴起,利用钓鱼邮件传播僵尸网络木马仍然值得警惕,而大部 分钓鱼邮件通常会附带恶意诱饵文档,实现攻击活动。
通过对本年度文档类恶意代码的漏洞利用统计,可以发现公式编辑器漏洞 CVE-2017-11882 仍然是 出现频率最高的漏洞,该漏洞几乎影响到所有流行的 Office 版本,微软已经在 2017 年 11 月发布安全 补丁。该漏洞存在于公式编辑器 Equation Editor 中,潜伏多年,属于典型的栈溢出漏洞。

参考资料

绿盟 2020 DDoS攻击态势报告

友情链接

绿盟 容器安全技术报告

你可能感兴趣的:(网络)