Momentum僵尸网络:DDOS攻击和IoT漏洞利用 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com
登录   |   注册

Momentum僵尸网络:DDOS攻击和IoT漏洞利用

ang010ela web安全 2020-01-02 10:48:55
711671
收藏

导语:本文对近期发现的一个影响Linux设备的Momentum僵尸网络进行分析。

研究人员近期发现一个影响Linux设备的恶意软件活动,进一步分析提取的样本发现这些活动都与一个僵尸网络有关——Momentum。研究人员发现该僵尸网络正在利用被黑的设备执行DDOS攻击。

Momentum僵尸网络主要攻击目标是不同CPU架构的Linux设备,包括 ARM, MIPS, Intel, Motorola 68020等CPU架构。恶意软件的是主要目的是打开后门,并接收命令来针对给定目标发起DOS攻击。Momentum僵尸网络传播的后门是Mirai, Kaiten, Bashlite变种,研究人员分析的样本中推送的是Mirai后门。此外,Momentum还利用不同路由器和web服务的漏洞来在不同目标设备上下载和执行shell脚本。

Momentum工作原理

感染设备后,Momentum会尝试修改rc文件来实现驻留,然后加入C2服务器,连接到名为#HellRoom的IRC信道来注册自己和接收命令。IRC协议是与C2服务器进行通信的主要方法。僵尸网络运营者会通过发送消息到IRC信道来控制受感染的系统。

Figure. 1

图 1. 受感染的设备加入攻击者IRC命令和控制信道

Figure. 2

 图 2. 命令和控制信息路径(下载/传播服务器,IRC服务器)

如图2所示,传播服务器上有许多恶意软件可执行文件。其他的服务器是僵尸网络的C2服务器。C2服务器的最后活动日期是2019年11月18日。

通信链路建立后, Momentum可以利用被黑的设备使用不同的命令来发起攻击。比如,Momentum可以应用36种不同的方法来发起DoS攻击。

image.png

表 1. Momentum使用的不同的DOS攻击方法

恶意软件使用已知的反射和放大方法来发起工具,比如MEMCACHE, LDAP, DNS,Valve Source Engine。在这些类型的攻击中,恶意软件可以伪造源IP地址发起针对受害者IP地址的洪泛攻击。

除了DOS攻击外,研究人员还发现Momentum可以执行其他动作,比如在给定IP上的端口上打开代理,修改客户端昵称,禁用或启用来自客户端的包等等。

Momentum DOS攻击

LDAP DDoS反射

在LDAP DDoS反射中,恶意软件可以用伪造的源IP地址来欺骗目标系统的LDAP服务器,引发到目标的大量响应消息。

Memcache攻击

在Memcache攻击中,远程攻击者可以使用伪造源IP的方式构造和发送恶意UDP请求。Memcached服务器会发送一个很大的响应到目标。Momentum使用HTTP GET请求来下载反射文件——恶意软件在其他放大DOS攻击中也使用相同的请求。

根据Shodan的数据,有超过42000有漏洞的memcached服务器受到此类攻击的影响。

Momentum僵尸网络使用下面的HTTP GET请求来下载反射文件:

GET / HTTP/1.1
User-Agent: Mozilla/4.75 [en] (X11; U; Linux 2.2.16-3 i686)
Host: :80
Accept: */*
Connection: Keep-Alive

UDP-BYPASS攻击

在UDP-BYPASS攻击中,Momentum会通过在特定端口构造和上传合法的UDP payload来对目标主机发起洪泛攻击。在攻击中,恶意软件会选择随机的端口和对应的payload,然后发送来发起攻击。恶意软件在该攻击中会使用多线程技术,每个线程对应一个端口和payload。

下表是一些端口和对应的payload:

1_副本.png

表 2. 端口和对应的payload

上面提到的大多数脚本用于服务发现。如果这些脚本在一段时间内发送给目标设备,就会引发dos攻击。

Phatwonk攻击 

Phatwonk攻击可以一次执行多种DoS方法,包括 XMAS, all flags at once, usyn (urg syn),任意TCP flag融合。

Momentum的其他能力

除了DOS攻击外,恶意软件一般还会尝试绕过检测、维护开放通信等。Momentum也有许多启动的能力来帮助传播和入侵设备:

Fast flux。Momentum僵尸网络使用fast flux技术来使C2网络更加可靠。Fast flux网络意味着一个域名有多个相关IP地址,可以快速修改IP,攻击者可以使用它来误导或绕过安全调查人员。

后门。攻击者可以发送命令到IRC信道,恶意软件客户端在受感染的系统上接收和执行。攻击者执行后会将结果发送回相同的IRC信道。

复制和传播。Momentum会尝试利用表中列出的漏洞来进行复制和传播。研究人员分析发现某个C2服务器上有超过1200个受害者。

CCTV-DVR RCE漏洞利用形式:

1-CCTV-DVR-RCE.png

ZyXEL路由器漏洞利用格式

2-ZyXEL-Router.png 

Huawei路由器漏洞利用格式

3-Huawei-Router.png

D-Link HNAP1    

5-D-Link-HNAP1.png

相关SDK UPnP SOAP 命令执行

6-Realtek-SDK-UPnP-SOAP-Command-Execution.png     

GPON80     

7-GPON80.png

GPON8080

8-GPON8080.png     

GPON443

9-GPON443.png     

JAWS Webserver非认证的shell命令执行

10-JAWS-Webserver.png 

Vacron NVR RCE 

11-Vacron-NVR-RCE.png

UPnP SOAP命令执行

12-UPnP-SOAP-Command.png 

THINK-PHP

13-THINK-PHP.png

HooTooTripMate RCE

14-HooTooTripMate-RCE.png

表 3. 复制和传播过程中利用的漏洞和漏洞利用

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/ddos-attacks-and-iot-exploits-new-activity-from-momentum-botnet/如若转载,请注明原文地址
  • 分享至
  •
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 

你可能感兴趣的

公司简介 | 我要投稿 | 更新日志 | 友情链接 | 隐私政策 |
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务