您的位置:首頁>正文

TheMoon:一個僵屍網路的老皇曆和新變種

安全客 2018-02-01 0

TheMoon 是一個惡意程式碼家族的代號。 早在2014年2月, 該惡意程式碼家族就引起了安全研究人員的普遍關注。 在當時, TheMoon是一個針對 Linksys 路由器的、有類似蠕蟲式傳播行為的僵屍網路。

由於其感染傳播能力較強, 安全社區裡的討論較多。

2014~2017年期間, 又陸續有各安全廠商對TheMoon惡意程式碼家族做了分析。 報告反應了當時 TheMoon 家族的演化情況。

從2017年開始, 我們也對 TheMoon 家族做了持續跟蹤, 並注意到以下的新發現:

感染階段: TheMoon 集成了最近的一組漏洞利用代碼, 提高其感染能力;

運營階段: TheMoon 的代理網路, 由正向代理改為反向代理, 避免被安全研究人員探測度量;

樣本特徵: TheMoon 開始使用壓縮外殼, 提高安全研究人員分析的難度

下文僅僅是我們對 TheMoon 惡意程式碼家族監控結果的概括描述, 詳細的技術分析文檔可見 TheMoon-botnet.pdf

2017年以前的 TheMoon

2014-02-13 , 這是我們能查到的 TheMoon 相關最早記錄。 當時, SANS 安全研究機構的博士 Johannes B. Ullrich 報告發現 了該惡意程式碼,

並在隨後給出了更新 。 TheMoon家族的一些關鍵特點, 在最初被發現的這個階段就已經確定下來了:

攻擊目標:最初是 Linksys E1000 系列路由器, 後續發展也是以 IoT 設備、特別是家用路由器為主。 設備目標常見是 MIPS 架構

蠕蟲式的感染傳播:被感染的設備, 會在一個較短的時間視窗期內提供二進位下載。 這種蠕蟲式的感染, 這使得其傳播能力大大增強

簡單的自我保護:會設定 iptables 規則限制漏洞利用埠的訪問, 僅允許作者控制的幾個IP位址所在地址段訪問, 減少被其他攻擊者利用相同漏洞的風險

由於該惡意程式碼家族被定位是蠕蟲, 這引起了安全社區的廣泛討論。 幾天之內, 相關的設備漏洞和利用代碼就被各大安全廠商收錄,

例如 securityfocus, packetstormsecurity, flexerasoftware, vulnerabilitycenter, exploit-db, IBM X-force, 等等。

2015-07-16, 阿裡安全的謝君, 在 解密“智魁”攻擊行動——針對路由器蠕蟲攻擊事件分析報告 中, 分析了該惡意程式碼家族當時的變種。 這個階段 TheMoon 家族表現出來的新特徵包括:

socks代理:開始利用被感染節點搭建 Socks 代理網路;上述代理網路是主動式的, 被感染節點上開啟的代理節點有特徵可循, 文章中根據該特徵, 對全網掃描並給出了度量;

感染手段:開始使用華碩路由器漏洞 CVE-2014-9583, UDP 9999 , 以及 TP-Link路由器漏洞。 2014年版本所使用的原有 Linksys 漏洞仍然在利用。

文中還列出了若干打碼後的 C2 伺服器IP地址

雖然文章中通篇沒有提及 TheMoon 的名字, 但是惡意程式碼的二進位特徵一致, 可以判定是 TheMoon 家族。 另外, 文章中還將攻擊行為追溯到具體人, 但是這部分的歸因過程沒有給出具體分析過程,

故而這部分的結論待考。

2016-10-20 Fortinet 的 Bing Liu 在 TheMoon A P2P botnet targeting Home Routers 中分析了當時的 TheMoon 惡意程式碼變種。 文中提及了一些新特性:

P2P 特性:代碼中集成了P2P 特性(但不成熟, 也未啟用)

C2通信協議:詳細的分析了惡意程式碼的 C2 通信協議

下載伺服器:hxxp://78.128.92.137/.nttpd

若干硬編碼的 NTP IP 位址:

207.46.232.182 (未顯式標注)

82.68.206.125

194.25.252.5

129.6.15.28

129.6.15.28

若干硬編碼的 C2 IP 位址:

185.53.8.22 (未顯式標注)

185.56.30.189

217.79.182.212

85.114.135.20

95.213.143.220

46.148.18.154

值得一提是, 儘管這份惡意程式碼中集成了 P2P 特性, 但相關代碼是不成熟的, 未能遵循應用密碼學最佳實踐, 存在被接管的可能性。 這部分代碼特性並未啟用, 作者與 bot 的通信仍主要主要基於硬編碼的 C2 IP 位址。

2017年以來我們觀測到的 TheMoon 家族

從 2017年4月 以來, 我們開始持續觀察到 TheMoon 家族。 我們監控到的新變化包括:

樣本特徵:TheMoon 開始使用壓縮外殼,

提高安全研究人員分析的難度

感染手段:集成了至少 6 種 IoT 設備漏洞利用手段, 擴大感染基數

代理網路:從正向改為反向。 感染節點通過諮詢上聯節點得知需要訪問的網頁和參數, 感染節點上不再直接開放埠。 這樣我們也無法通過全網掃描的方式來度量僵屍網路的規模。

代理流量:代理網路中流傳的流量大致分為有明文和密文兩部分, 流量均不高。 明文部分, 經人肉篩選, 和色情、賭博、挖礦等內容有關, 另有一小部分看起來像門戶網站;密文部分的流量推測與電商或者線上郵箱有關。 時間分佈不明顯, 似乎24小時都有流量發生。

P2P 機制:仍然存在, 仍然存在被接管可能, 仍然沒有啟用

C2 IP 地址方面, 我們累計觀察到以下 IP 地址被攻擊者以年為單位長期佔用:

149.202.211.227

173.208.219.26

173.208.219.42

173.208.219.50

173.208.219.58

185.53.8.22

185.56.30.189

185.56.30.189

208.110.66.34

217.79.182.212

46.148.18.154

69.197.128.34

85.114.135.20

91.215.158.118

95.213.143.220

值得一提的是之前其他文章中披露的 C2 IP 位址已經被作者放棄使用,但是 185.53.8.22 這個IP位址沒有被顯式披露,作者就一直使用並未放棄。

感染過程中至少使用了6種 IoT 設備漏洞利用,相關的設備類型和漏洞利用如下:

Linksys E-series 的 漏洞利用 ,這是 2014 年首次被批露時使用的漏洞

ASUS WRT UDP 9999的 漏洞利用,這是 TheMoon從2015年至2017年主要使用的漏洞利用

D-Link 850L的 漏洞利用

D-Link 815的 漏洞利用

VIVOTEK Network Cameras的 漏洞利用

D-Link DIR-890L D-Link DIR-645的 漏洞利用

詳細技術分析文檔

TheMoon-botnet.pdf

IoC

樣本MD5和下載URL

2017-04-02 7bca40bba278b0021a87bcbc35b2e144 hxxp://domstates.su/nmlt1.sh 2017-04-02 70461da8b94c6ca5d2fda3260c5a8c3b hxxp://domstates.su/.nttpd 2017-04-02 c8f17d7403ac5ff2896a713a7175ed19 hxxp://domstates.su/archi.txt 2017-04-06 bc56979a0b381a791dd59713198a87fb hxxp://domstates.su/nmlt1.sh 2017-04-06 bc56979a0b381a791dd59713198a87fb hxxp://domstates.su/archi.txt 2017-04-09 11f060ffd8a87f824c1df3063560bc9e hxxp://domstates.su/.nttpd,19-mips-le-t1 2017-04-09 c0c1d535d5f76c5a69ad6421ff6209fb hxxp://domstates.su/.nttpd,17-mips-be-t2 2017-04-09 4d90e3a14ebb282bcdf3095e377c8d26 hxxp://domstates.su/.nttpd,18-arm-le-t1 2017-08-11 106d9eb6a7c14f4722898b89ccacb17e hxxp://domstates.su/nmlt1.sh 2017-08-11 6f2fabf40ad39a5738e40dbe2c0a1b53 hxxp://domstates.su/.nttpd,20-mips-le-t1 2017-08-11 b731e5136f0ced58618af98c7426d628 hxxp://domstates.su/.nttpd,19-arm-le-t1 2017-10-03 9c79b0a54e70cf0a65ba058e57aee6f1 hxxp://domstates.su/nmlt1.sh 2017-10-03 27002860c26c2298a398c0a8f0093ef6 hxxp://domstates.su/.nttpd,19-arm-le-t1 2017-10-03 54631bbc01b934ee3dbcafdc6055599c hxxp://domstates.su/.nttpd,18-mips-be-t2 2017-10-05 e2673d513125bcae0865ccf0139cef0c hxxp://domstates.su/nmlt1.sh 2017-10-05 b8e16a37997ada06505667575f8577d6 hxxp://domstates.su/.nttpd,19-arm-le-t1 2017-10-05 98c678ee656325b0aee1fe98f2ca6f55 hxxp://domstates.su/.nttpd,18-mips-be-t2 2017-10-09 96219e644bf69ff7359ecc5e9687bcd0 hxxp://domstates.su/nmlt1.sh 2017-10-09 f9d87043d2e99098f35a27237925992f hxxp://domstates.su/.nttpd,20-arm-le-t1-z 2017-10-09 089d304877930d3dfe232a2e98e63f6f hxxp://domstates.su/.nttpd,19-mips-be-t2-z 2017-10-14 275cc8ed50368fa72e46551e41824683 hxxp://domstates.su/nmlt1.sh 2017-10-14 7fa47de462e743607eb9a2f93b7193ce hxxp://domstates.su/.nttpd,20-mips-be-t2-z 2017-10-16 810ea41f35f9fe40855900db9406d7a0 hxxp://domstates.su/nmlt1.sh 2017-10-21 dbf24da7b27c12ae65c98675eb435c81 hxxp://domstates.su/nmlt1.sh 2017-11-12 8ad5b160dd7a976044d6a2dd631efc4b hxxp://domstates.su/nmlt1.sh 2017-11-12 20f9f7ae0c6d385b0bedcdd618c478dc hxxp://domstates.su/.nttpd,21-arm-le-t1-z 2017-11-12 53494b8867654d06ea1b5aec0ed981c1 hxxp://domstates.su/.nttpd,21-mips-be-t2-z 2017-11-12 016cc0097560bbbb07b4891256600eb8 hxxp://domstates.su/d8ug.sh 2017-11-27 2ceb4822e1e0f72e8b88968165d9a99f hxxp://domstates.su/nmlt1.sh 2017-11-27 057d56b7de1e9460bd13c5c6eafd4559 hxxp://domstates.su/.nttpd,21-mips-le-t1

C2 IP

149.202.211.227 173.208.219.26 173.208.219.42 173.208.219.50 173.208.219.58 185.53.8.22 185.56.30.189 185.56.30.189 208.110.66.34 217.79.182.212 46.148.18.154 69.197.128.34 85.114.135.20 91.215.158.118 95.213.143.220

149.202.211.227

173.208.219.26

173.208.219.42

173.208.219.50

173.208.219.58

185.53.8.22

185.56.30.189

185.56.30.189

208.110.66.34

217.79.182.212

46.148.18.154

69.197.128.34

85.114.135.20

91.215.158.118

95.213.143.220

值得一提的是之前其他文章中披露的 C2 IP 位址已經被作者放棄使用,但是 185.53.8.22 這個IP位址沒有被顯式披露,作者就一直使用並未放棄。

感染過程中至少使用了6種 IoT 設備漏洞利用,相關的設備類型和漏洞利用如下:

Linksys E-series 的 漏洞利用 ,這是 2014 年首次被批露時使用的漏洞

ASUS WRT UDP 9999的 漏洞利用,這是 TheMoon從2015年至2017年主要使用的漏洞利用

D-Link 850L的 漏洞利用

D-Link 815的 漏洞利用

VIVOTEK Network Cameras的 漏洞利用

D-Link DIR-890L D-Link DIR-645的 漏洞利用

詳細技術分析文檔

TheMoon-botnet.pdf

IoC

樣本MD5和下載URL

2017-04-02 7bca40bba278b0021a87bcbc35b2e144 hxxp://domstates.su/nmlt1.sh 2017-04-02 70461da8b94c6ca5d2fda3260c5a8c3b hxxp://domstates.su/.nttpd 2017-04-02 c8f17d7403ac5ff2896a713a7175ed19 hxxp://domstates.su/archi.txt 2017-04-06 bc56979a0b381a791dd59713198a87fb hxxp://domstates.su/nmlt1.sh 2017-04-06 bc56979a0b381a791dd59713198a87fb hxxp://domstates.su/archi.txt 2017-04-09 11f060ffd8a87f824c1df3063560bc9e hxxp://domstates.su/.nttpd,19-mips-le-t1 2017-04-09 c0c1d535d5f76c5a69ad6421ff6209fb hxxp://domstates.su/.nttpd,17-mips-be-t2 2017-04-09 4d90e3a14ebb282bcdf3095e377c8d26 hxxp://domstates.su/.nttpd,18-arm-le-t1 2017-08-11 106d9eb6a7c14f4722898b89ccacb17e hxxp://domstates.su/nmlt1.sh 2017-08-11 6f2fabf40ad39a5738e40dbe2c0a1b53 hxxp://domstates.su/.nttpd,20-mips-le-t1 2017-08-11 b731e5136f0ced58618af98c7426d628 hxxp://domstates.su/.nttpd,19-arm-le-t1 2017-10-03 9c79b0a54e70cf0a65ba058e57aee6f1 hxxp://domstates.su/nmlt1.sh 2017-10-03 27002860c26c2298a398c0a8f0093ef6 hxxp://domstates.su/.nttpd,19-arm-le-t1 2017-10-03 54631bbc01b934ee3dbcafdc6055599c hxxp://domstates.su/.nttpd,18-mips-be-t2 2017-10-05 e2673d513125bcae0865ccf0139cef0c hxxp://domstates.su/nmlt1.sh 2017-10-05 b8e16a37997ada06505667575f8577d6 hxxp://domstates.su/.nttpd,19-arm-le-t1 2017-10-05 98c678ee656325b0aee1fe98f2ca6f55 hxxp://domstates.su/.nttpd,18-mips-be-t2 2017-10-09 96219e644bf69ff7359ecc5e9687bcd0 hxxp://domstates.su/nmlt1.sh 2017-10-09 f9d87043d2e99098f35a27237925992f hxxp://domstates.su/.nttpd,20-arm-le-t1-z 2017-10-09 089d304877930d3dfe232a2e98e63f6f hxxp://domstates.su/.nttpd,19-mips-be-t2-z 2017-10-14 275cc8ed50368fa72e46551e41824683 hxxp://domstates.su/nmlt1.sh 2017-10-14 7fa47de462e743607eb9a2f93b7193ce hxxp://domstates.su/.nttpd,20-mips-be-t2-z 2017-10-16 810ea41f35f9fe40855900db9406d7a0 hxxp://domstates.su/nmlt1.sh 2017-10-21 dbf24da7b27c12ae65c98675eb435c81 hxxp://domstates.su/nmlt1.sh 2017-11-12 8ad5b160dd7a976044d6a2dd631efc4b hxxp://domstates.su/nmlt1.sh 2017-11-12 20f9f7ae0c6d385b0bedcdd618c478dc hxxp://domstates.su/.nttpd,21-arm-le-t1-z 2017-11-12 53494b8867654d06ea1b5aec0ed981c1 hxxp://domstates.su/.nttpd,21-mips-be-t2-z 2017-11-12 016cc0097560bbbb07b4891256600eb8 hxxp://domstates.su/d8ug.sh 2017-11-27 2ceb4822e1e0f72e8b88968165d9a99f hxxp://domstates.su/nmlt1.sh 2017-11-27 057d56b7de1e9460bd13c5c6eafd4559 hxxp://domstates.su/.nttpd,21-mips-le-t1

C2 IP

149.202.211.227 173.208.219.26 173.208.219.42 173.208.219.50 173.208.219.58 185.53.8.22 185.56.30.189 185.56.30.189 208.110.66.34 217.79.182.212 46.148.18.154 69.197.128.34 85.114.135.20 91.215.158.118 95.213.143.220
上一篇:楊冪新劇《扶搖》男配顏值太高,網友齊呼快點播
同類文章
精品文章
Next Article
喜欢就按个赞吧!!!
点击关闭提示