預警：新僵尸網絡家族正在利用IoT設備構建攻擊網絡 - 網安 - 專業的網絡安全產業、社區、知識平臺

一、概述

新僵尸網絡家族預警

2022年6月22日，我們監測發現一個新的僵尸網絡正在利用IoT設備的弱口令構建僵尸網絡。根據僵尸網絡惡意代碼中的url、youtube視頻內容以及通信命令特征，我們將這個僵尸網絡家族分別命名為RapperBot。截止目前，已發現失陷主機已經超過5000臺，但是未監測到攻擊者下發任何攻擊指令，這說明該僵尸網絡仍在持續構建中。

此外，我們注意到RapperBot僵尸網絡連接過C2地址2.58.149.116，曾經有一個歷史解析域名：dota.iwishiwashappy.eu，該域名在Rippr團伙運營的僵尸網絡Fbot中也曾使用過。根據相關威脅情報，Rippr團伙運營著Fbot在內多個僵尸網絡家族，該團伙擁有極其豐富的0DAY/NDAY武器庫，且參與過針對“北京健康寶攻擊事件”以及針對“烏克蘭DDoS攻擊”在內的多起攻擊活動。

以上跡象表明，由RapperBot家族構建的僵尸網絡已經成為一個重要的潛在威脅源。

IoT僵尸網絡總體情況

根據CNCERT的監控數據，最近一個月內共監測發現了超過3000個活躍的IoT類僵尸網絡C2控制地址，其中有161個極度活躍的C&C地址，控制了大量的失陷主機。其中控制數超過5000臺控制主機的C&C占6%，控制數在1000至5000臺主機的C&C占21%，少于1000臺主機的C&C占73%。

C&C活躍天數區間

僵尸主機數區間

異常活躍的161個C&C地址中，境外C&C服務器占比超過80%，主要位于美國、荷蘭、日本、加拿大和法國等。

C&C所屬國家

二、RapperBot傳播手段

RapperBot利用SSH爆破傳播，具備telnet弱口令掃描能力。根據這個家族使用的弱口令對，推斷受影響設備列表如下：

受影響設備/品牌列表

三、感染情況分析

肉雞感染量

RapperBot監控數據顯示受感染主機數在不斷增加，由6月24日的206臺升至6.27號的1762臺，但是尚未監測到發送任何攻擊指令，推測攻擊者的僵尸網絡或正處于嘗試不同版本并不斷完善功能的過程當中。統計如下：

每日感染主機情況

四、惡意代碼分析

RapperBot運行后輸出一個Youtube鏈接，所涉及Youtube賬號創建于2020年11月20日，至今仍可訪問，是一個黑人rapper話題相關視頻（follow me on instant gram @2tallforfood, pause it. Fuck Bosco. https://youtu.be/4fm_ZZn5qaw?t=81）。

通信&&指令

RapperBot利用TCP協議與C2建立通信。

C2地址及端口

上線過程先是發送436字節上線包：

上線過程

其中前32個字節硬編碼于二進制文件當中，剩余部分用“00”填充。

32字節的固定信息

隨后需要向server端持續地發送keep-alive數據包才能維持通信，server端也會返回相同格式的數據包，keep-alive的格式與上線包一致，不同的是第33字節由“0x00”替換為“0x01”，實際產生流量如下：

上線流量

心跳流量

攻擊流量與keep-alive數據包的格式類似，前32字節是固定的，由數據包第33字節的值決定執行不同的功能，其它可選參數在后面數據中填充。

上線成功后向bot下發指令,當第33字節為“0x02”時bot斷開與server的連接。采取同樣的方式通過修改標志位為“0x03”以及填充可選參數部分可構造針對特定目標的DDoS攻擊指令：

攻擊命令

整理如下：

攻擊指令詳情

附錄A IOC

C&C地址：

2.58.149.116

146.59.64.13

下載鏈接：

http://2.58.149.116/ssh
http://2.58.149.116/s
http://2.58.149.116/ssharm7
http://2.58.149.116/c
http://2.58.149.116/x86
http://2.58.149.116/mipsel
http://2.58.149.116/arm7
http://2.58.149.116/mips
http://2.58.149.116/mips64
http://2.58.149.116/spc
http://2.58.149.116/w

樣本MD5：

1efd365d0ba7f9de47ef5e033949d565
f781beb98b5ef16ef2e328c882367151
778acfbd746a6919119fa138c854899de5195b9e
331875ac3d37ed675d2169fc07b19e10cbc26e07a13254883932eaf14205cdfa
cae55c6df858a61ee440c914661036cd
8b63f9c99190a034e3b3232cfbb713a5bd02ae2b
d094f9d86fc202b62b6c98625048f2cdad40d705de03f1e961def16c16836679
c95cc5c935ab3fec959a3e349e540387
b17640fcfa22ee7a7cf3d1b296710b7e22e52da8
526d8bede1cabc12f480fc640dc438226fbe1867f133b472462c0c798ffd5ce1
48bc66d48c0e8d0d688a4d44eb7a5e06
0d439532b58b4264f957176626107cd3660ecc7c
866532f40feaf86bd7b0db51c40c30ef26bf2bf0c0becaf9bc34a340bf8822a4
9e331675d780af4585857b1f95b40cbb
13b65fc2534682cbdbec48df2fa142b35f803c2d
3b5d0075255c5df72bed53ec0154a612db416cbeda109df822593ee5424d3b1e
0239e373fdbce6973b3e9793f64fc3ae
d7e0b3e45d4bf4bea9a542bdae2ce251ddc1fae9
c3466ae9b84e54c40136edd1b17023c693f665baa1e9148fe5e75339b5d93da2
8de4245561b678c25261e6f3d586d4f8
5eeec89c8bfcff71dcb3bb05b03a8b0419f578e8
3fde64a30bcb1e39e51d66f6848b5f924244ea509ae19b7b11d27f8a78ad5faa
0873e4029928ede1d08dee04950bcb86
db466e60e128dd427b2a1e1c2371ad2a01bdc8ff
7624f0395a9b2cf309f60a8626459a8dcefb5107f7cf44f5bfa83e173347328b
c6c55bfcc209e29c1d666ca89c0dd876
0b0e71a6a89946b8ce345ae888c8bd5ec42d8f86
84de5d34b63b52c6d59cb3ed07c1c9a458afad5e85b008eaf2457a6657dc4108
c9f07f89ab7ca43db9569d712c2e323f
01298879377eac29de2dc50428842d495a7c0283
290b7ccd1991c5b3a0e372e53bc3c3e91df4a48a150703c03ce1390f435498f6
a239dcf508939febae043ec3dfc02cab
20be4f96576d1510f93c4f275b2ffbf7fc8c0902
0f3c7fb0c5a6518e9d195a85c2789a30f394703b463ee03a6f4839d4d0039b5d
521b79d722b2db6cd211e3b78d364323
98bc5fb9171c1b13c49b9f4bbc3e89dabffe5dcf
a578277eaf633bdd47345ce124a4fcf179733601b8a09c0bb9cc14e8f09d8a1d
deca801bd9f6d224ecb7c92ff4631a07
55ff5a3ced63abe49b880b48408267ec10cfe14a
8492a4130034b10549b25c15e190d58454adc4b34eb7221d657f604652811dd2
295f5118efc8e2d7557dd5ea4486b363
464aa7661b229e0b7321358bb8d9090780343dfb
0b683992b02de1fae6bb21504a825c8f5460969c2154dc706855ec726a262b1b
526c4ccd3b2bbc4e1d9d03e085827617
2790ce647faebb2d993e03c21c58feabbbe9ea9c
8304805c4a80b7fa45168747364ab592aafa891072dd0cc1975cc04df41d5aa4
0a05737be0f98923f17f34a9062722f1
99b6edeac61426a99f7062fc7f90c2609c8538ef
3c463934056f381ea33a751a91cd7071fbf3bb21f6c1ed99cae7f92a78968db5
edc92bc2463112b0451b7f7d9811985b
a5ccf235166dd5bb485152c242e6702d3ed79a4d
81608d3effbcadbfed47461617967ec626921f4c95a1aa052b5188cc3933c719
e4b3a9f9e5e90ce3912665ffb7e0f6f8
33cf1b18c99a43ea76c4b87c92b73a769acd24ad
88bbb772b8731296822646735aacbfb53014fbb7f90227b44523d7577e0a7ce6
ee73067c97e7015dc3f805fd3f66f3db
bbd8f413be3abe8df87cd2ed6c58e68f4bb505ce
c83f318339e9c4072010b625d876558d14eaa0028339db9edf12bbcafe6828bb

轉載聲明

本文轉載自網絡安全應急技術國家工程實驗室。