2022年第四季度俄乌双方DDoS攻击分析报告

针对乌方阵营多个国家的重点目标 DDoS 攻击活动如下：

可见双方发起 DDoS 攻击最常用的僵尸网络家族是 Mirai，其次是 Moobot，Fodcha 偶尔也掺和一下，打出一大波攻击。

• C&C 域名 2022 年 10 月初注册，10 月底配置解析并上线，上线后立即利用 IoT 设备漏洞 CVE-2016-6563 发起传播

• 最开始利用 IoT 设备漏洞传播的是一个固定 Scanner IP 185.122.204.30，该 IP 位于俄罗斯莫斯科，该传播行为一直持续到 2022.11.13

• 启动传播没几天就频繁攻击与俄方有摩擦的国家所属的重要目标，并且很少攻击其他目标，攻击之后即停手，后续再没发起过任何攻击。

另根据我们的 PassiveDNS 数据，该 C&C 域名上线后即发起了一大波传播，域名的访问立即有了一波高峰，后面略有起伏，但访问量总体趋于下降。这说明最初该家族的样本确实控制了大量设备，而随后由于各种原因，该家族控制的失陷设备数量渐渐减少：

我们的未知威胁监控系统的监测数据显示，该僵尸网络样本最早通过 CVE-2016-6563 漏洞传播，立即感染了大批设备，后面样本中加上了 CVE-2017-17215 漏洞利用开启了蠕虫式传播。这样该僵尸网络就以固定 IP 的扫描器利用漏洞和蠕虫式传播两种方式结合传播，但根据我们的 PassiveDNS 数据显示，后期可能并未感染太多设备。该僵尸网络的恶意样本的传播高峰期在 2022.10.30——2022.11.13 期间，总体趋势如下：

该家族利用漏洞成功感染设备后，会下载并执行一个恶意 Shell 脚本，恶意 Shell 脚本会暴力下载多个架构的 Moobot 样本并尝试执行。根据恶意 Shell 脚本中的代码来看，攻击者构建的恶意样本支持以下 CPU 架构：

• ARM5

• ARM6

• ARM7

• M68K

• PPC

• SH4

• x86

• x86-64

• MIPS

• MIPSLE

文章来源：奇安信威胁情报中心