1. 概述
2. 典型攻击事件
针对乌方阵营多个国家的重点目标 DDoS 攻击活动如下:
可见双方发起 DDoS 攻击最常用的僵尸网络家族是 Mirai,其次是 Moobot,Fodcha 偶尔也掺和一下,打出一大波攻击。
3. 僵尸网络案例探究
-
C&C 域名 2022 年 10 月初注册,10 月底配置解析并上线,上线后立即利用 IoT 设备漏洞 CVE-2016-6563 发起传播 -
最开始利用 IoT 设备漏洞传播的是一个固定 Scanner IP 185.122.204.30,该 IP 位于俄罗斯莫斯科,该传播行为一直持续到 2022.11.13
-
启动传播没几天就频繁攻击与俄方有摩擦的国家所属的重要目标,并且很少攻击其他目标,攻击之后即停手,后续再没发起过任何攻击。
另根据我们的 PassiveDNS 数据,该 C&C 域名上线后即发起了一大波传播,域名的访问立即有了一波高峰,后面略有起伏,但访问量总体趋于下降。这说明最初该家族的样本确实控制了大量设备,而随后由于各种原因,该家族控制的失陷设备数量渐渐减少:
我们的未知威胁监控系统的监测数据显示,该僵尸网络样本最早通过 CVE-2016-6563 漏洞传播,立即感染了大批设备,后面样本中加上了 CVE-2017-17215 漏洞利用开启了蠕虫式传播。这样该僵尸网络就以固定 IP 的扫描器利用漏洞和蠕虫式传播两种方式结合传播,但根据我们的 PassiveDNS 数据显示,后期可能并未感染太多设备。该僵尸网络的恶意样本的传播高峰期在 2022.10.30——2022.11.13 期间,总体趋势如下:
该家族利用漏洞成功感染设备后,会下载并执行一个恶意 Shell 脚本,恶意 Shell 脚本会暴力下载多个架构的 Moobot 样本并尝试执行。根据恶意 Shell 脚本中的代码来看,攻击者构建的恶意样本支持以下 CPU 架构:
-
ARM5 -
ARM6
-
ARM7
-
M68K
-
PPC
-
SH4
-
x86
-
x86-64
-
MIPS
-
MIPSLE
4. 总结
推荐阅读
文章来源:奇安信威胁情报中心
原文始发于微信公众号(安全内参):2022年第四季度俄乌双方DDoS攻击分析报告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论