狼烟再起 | 物联网僵尸家族入侵模式再更新，阻击需提前

报告通过阐述它们的特点及现状，揭示了僵尸网络家族的未来发展趋势：

1、利用小众设备的漏洞部署恶意软件，在局部战场获取收益。

2、使用去中心化的P2P协议进行通信，并构建专属DHT网络，增强C&C隐匿性和跟踪的难度。

3、使用DGA隐藏真实C&C，延长存活周期，为木马后续更新争取时间。同时采用加密+验证的方式保护流量，以瘫痪网络层的特征检测。

4、发展模式逐渐由完善功能再投递，转变为先投递再完善功能。

5、C&C分布式地向肉鸡下发任务，高效地进行暴破活动。

6、C&C后台挖掘和收集海量域名作为日后攻击资产，可自用或出售。

Linux/IoT设备各式各样，种类繁多，因此有攻击者打起了小众设备的主意。而家庭网关作为用户接入互联网的重要通道和流量入口，便成为了攻击者利用的一环。特别是在流量为王的今天，刷广告已经成为黑产界散播木马的重要动力之一。

2020年疫情期间，有攻击者利用某品牌家用网关的0day漏洞实施了入侵行为，并部署了恶意软件Pink，可进行广告劫持、网络代理、后门替换和DDoS攻击等功能。

此次事件中，攻击者非常了解家用网关。这反映出在IoT平台漏洞层出的今天，黑产组织为了打开局部市场以攫取更多利益，不惜展开针对一些小众设备的研究，主动挖掘或购买漏洞进行利用，同时也侧面反映了当今IoT设备面临的一系列安全窘境。小众设备的“战场”，对安全应急及后续调查研究提出了一定挑战，并对相关安全从业人员的知识宽度也提出了新的要求。

C&C通信的隐匿性是决定僵尸网络存活周期的重要因素之一。当今，绝大部分僵尸网络家族均采用Client-Server的TCP通信模式，因此相对容易被追踪和研究，而与此相对的则是少数家族采用的去中心化通信模式。

2019年年底出现的以DDoS为主要目标的Mozi恶意家族，代表了物联网僵尸网络在P2P方向的延伸。Mozi不仅使用P2P通信中已有的DHT协议作为整体网络结构，还在DHT网络内部构建了该家族专属的DHT僵尸网络。这使得一个Mozi节点从加入DHT网络到执行DDoS攻击不能一蹴而就，而是会涉及到多种通信协议，包括DHT、Mozi-DHT、HTTP和UDP协议。

两层DHT通信使得Mozi的网络结构较为复杂，且节点分布离散度较高，有别于传统的僵尸网络。伏影实验室分析发现，Mozi利用常见的传播方式，现已入侵东亚、欧洲和北美等多个地区。据绿盟科技伏影实验室观测，其规模仍在不断扩大中，或于未来演变为重大威胁的可能性已显露。

由于P2P的网络结构较为灵活，在一定程度上隐藏了真实C&C，使得Mozi家族比传统僵尸网络更难治理。

各僵尸网络家族的木马在占领肉鸡后，伴随而来的是其持久性问题。同时C&C通信的保密性，亦是决定僵尸网络存活周期长短的重要因素之一。攻击者以隐藏真实C&C提高存活率，并通过加密流量来隐藏通信内容，从而对抗特征检测。

2020年6月，绿盟科技伏影实验室威胁捕获团队，根据CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据，通过漏洞检测发现了一款全新的DDoS僵尸网络家族Bigviktor。与传统的Mirai、Gafgyt、Dofloo和XorDDoS等DDoS家族不同，该家族使用DGA算法生成C&C，每个月可以产生大量域名，并采取非对称加密+签名验证的方式保护通信流量，遵循零信任的原则。

此外，Bigviktor在刚被发现时，其功能尚不完整，体现了与传统僵尸网络不同的发展模式，即先实现入侵传播，在站稳脚跟后再通过后期逐步更新来完善功能。该模式需要维持C&C在一段时间不被封杀，与该家族采取的C&C和流量保护措施完全契合，同时也暴露了黑产内部激烈的竞争态势。

如今，众多的Web管理和服务系统无时无刻不遭受各类渗透攻击，其中弱口令则是一种最简单的方式。如何尽快收集这些暴露在公网上的目标并实施高效的渗透，成为了攻击者行动的另一个方向。

2019年年初出现的Gobrut家族扮演的便是这样的角色。该家族版本不停迭代，至今依然活跃。由于该家族只用于暴力破解，因此表现出与传统僵尸网络家族不同的需求。Gobrut的C&C会生成目标和弱口令列表，由肉鸡下载后发起对目标的扫描或登录尝试，若成功则提交结果，由此形成一个分布式暴力破解僵尸网络。

通过分布式的作业模式，C&C能以较快速度获得目标类型的扫描结果，并指定肉鸡将主要精力放在暴力破解上。同时C&C后台还承担了子域名挖掘工作，由此获得大量域名供Gobrut肉鸡进行扫描，由此形成了【子域名挖掘->分发->扫描->反馈->再分发->暴破->再反馈】的模式。

通过这种模式，Gobrut不仅收集了海量子域名作为攻击资产，而且缩短了弱口令暴破时间，甚至可在黑市兜售被攻破目标信息以获利，可谓一箭三雕。