专栏首页FreeBuf僵尸网络新动向

僵尸网络新动向

最近发现一些恶意软件活动影响了许多运行Linux的设备,该平台今年刚刚解决了许多问题。对检索到的恶意软件样本的进一步分析显示,这些操作与一个名为Momentum的僵尸网络(根据在其通信通道中找到的图像命名)有关。此外发现了僵尸网络目前用于攻击其他设备和执行DDoS攻击的工具以及技术细节。

Momentum将Linux平台按CPU体系结构划分,如ARM、MIPS、Intel、Motorola 68020等。此恶意软件的主要目的是打开后门并针对给定目标进行各种DoS攻击。该僵尸网络的后门是Mirai、Kaiten和Bashlite变体。此外它还通过各种路由器和web服务上的多个漏洞在目标设备上下载和执行shell脚本进行传播。

Momentum工作方式分析

感染设备后,Momentum试图修改“rc”文件来实现持久控制;然后它加入command and control(C&C)服务器并连接到名为“HellRoom”的internet中继聊天(IRC)通道以注册自身并接受命令。IRC协议是与C&C服务器通信的主要方法。僵尸网络可以通过向IRC通道发送消息来控制受感染的机器。

分发服务器(如上所示)托管恶意软件。另一个服务器是僵尸网络的C&C服务器。C&C服务器最新上线时间为2019年11月18日。

一旦建立了通信线路,Momentum就可以使用各种命令进行攻击。Momentum可以部署36种不同的DoS方法,如下所示。

恶意软件使用已知的反射和放大方法,这些方法有多种目标:MEMCACHE、LDAP、DNS和Valve Source Engine。在这些类型的攻击中,恶意软件通常会将源IP地址(受害者)欺骗到可公开访问的服务器上,从而引发大量响应使受害者不堪重负。

除了DoS攻击之外,Momentum还可以执行其他操作:在指定IP端口上打开代理、更改客户端nick、禁用或启用客户端的packeting等等。

Momentum拒绝服务攻击

LDAP DDoS反射

在LDAP DDoS反射中,恶意软件将目标系统的源IP地址欺骗到可公开访问的LDAP服务器,从而向目标发送大量响应。

Memcache攻击

在Memcache攻击中,远程攻击者使用伪造源IP地址向易受攻击的UDP memcached服务器发送恶意UDP请求。然后memcached服务器向目标发送响应。Momentum使用HTTP GET请求下载反射文件。恶意软件在其他放大的DoS攻击中也使用相同的请求。

根据Shodan的初始数据,有42000多个memcached服务器可能受到此类攻击的影响。

僵尸网络使用以下HTTP GET请求下载反射文件:

UDP-BYPASS攻击

在UDP-BYPASS攻击中,通过在特定端口上构造和卸载UDP来淹没目标主机。执行此攻击时,恶意软件会选择一个随机端口和负载,将其发送到目标主机。恶意软件使用多线程进行此攻击;每个线程都有一个端口,后跟其负载。

以下是一些端口及其负载的列表:

上面看到的大多数脚本都用于服务发现。如果它们长时间发送到目标设备,会实现拒绝服务,使服务崩溃。

Phatwonk攻击

phatwink攻击一次执行多个DoS方法:XMAS、一次执行所有标志、usyn(urg syn)和任何TCP标志组合。

Momentum其他能力

通常恶意软件试图逃避检测,保持开放的沟通渠道,以及更多的持续成功的运动。Momentum还有其他功能可以帮助它传播和破坏设备:

快速流量。僵尸网络采用快速流量技术,使其指挥控制网络更具弹性。快速流量网拥有多个与域名相关联的IP地址,然后不断快速连续地更改地址,从而误导或逃避安全调查。

后门。攻击者可以向IRC通道发送命令(“BASH”、“SHD”或SH命令),恶意软件客户端将在受感染的系统上接收并执行该命令。结果将被发送回攻击者。

传播。通过尝试利用下表中列出的漏洞传播。调查中的C&C服务器显示了1232名受害者。对于其他服务器可能会有更多。

IOC

*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Kriston

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-01-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 黑客是如何通过RDP远程桌面服务进行攻击的

    企业每年在软件和硬件和防止外部网络攻击方面的投资花费有数十亿美元。在安全方面花的钱多就带面安全吗?这些企业无疑是搬起石头砸自己的脚。 ...

    FB客服
  • DEDECMS伪随机漏洞分析

    根据第二篇,我们有信心去遍历root key的所有可能, 但是我们还需要一个碰撞点, 才能真正得到root key的值, 本篇找到了两个碰撞点, 并编写了简单的...

    FB客服
  • 对“利比亚天蝎”网络间谍活动的分析调查(附样本下载)

    利比亚的政权动荡和长期内战可能众所周知,但其网络间谍和黑客活动或许鲜为人知。在这篇报告中,我们将首次披露一例涉及利比亚的恶意软件网络攻击活动。 ? 概要 8月初...

    FB客服
  • 总结5条对学习Linux系统有帮助的经验心得

    沈唁
  • 【区块链实践】杭州互联网法院司法区块链解决方案1,司法区块链解决方案2,司法区块链可以解决哪些问题?3,为什么要运行司法区块链?4, 参考

    据杭州日报消息,2018年09月18日,杭州互联网法院宣布司法区块链正式上线运行,成为全国首家应用区块链技术定纷止争的法院。司法区块链让电子数据的生成、存储、传...

    辉哥
  • linux下通过user-config.jam指定编译器编译boost

    bjam是boost的编译工具,类似于gnu make,boost就是用bjam编译的,bjam很聪明,在编译boost的时候,会自动从系统中寻找合适的编译器来...

    用户1148648
  • python调用zxing项目进行二维码

    摘要:首先创建一个java的maven项目,加入zxing相关包,编写二维码相关代码,调试运行,打包;然后创建一个python项目,安装jpype,编写代码把相...

    py3study
  • 通过vmstat的简单分析数据库操作 (r3笔记23天)

    vmstat一直以来就是linux/unix中进行性能监控的利器,相比top来说它的监控更加系统级,更侧重于系统整体的情况。 今天在学习vmstat的时候,突然...

    jeanron100
  • 基于DR(直接路由)模式的负载均衡配置详解

    DR(直接路由)是三种负载均衡模式其中之一,也是使用最多的一种模式,关于该模式的介绍,可以参考博文:https://blog.51cto.com/1422720...

    小手冰凉
  • 腾讯云服务器怎么购买,腾讯云服务器购买流程教程

    腾讯云服务器怎么购买?腾讯云服务器购买其实很简单的。首先打开腾讯云服务器官网的购买地址

    用户5899800

扫码关注云+社区

领取腾讯云代金券