僵尸蜜网：首款具备诱捕及反探测能力的物联网僵尸网络

宣布时间 2020-07-24

一、概述

近期，，，，，，，，我们跟踪到一起特别的物联网僵尸网络攻击事务。。。。。。。。该攻击事务近3个月来对中国、美国、俄罗斯、德国等多个国家发动了较为频仍的攻击。。。。。。。。这批攻击虽然流量并不大，，，，，，，，但在追踪的历程中发明，，，，，，，，这批攻击中保存一些VT查杀率为0的恶意样本，，，，，，，，如图1所示；；；；；；；；并且还发明该僵尸网络的许多节点新颖地加入了诱捕及反探测能力。。。。。。。。

万利国际官网(中国游)有限公司

图1：VT检测情形

这些僵尸样本可以将受控装备的指纹信息伪装成其他装备的指纹（现在仅发明DVR的伪造指纹，，，，，，，，推测黑客可以通过更新模�？？？？？？？槔次痹炱渌氨钢肝疲�。。。。。。。。一方面以伪造装备指纹的方法来诱骗如Shodan等种种误差扫描产品，，，，，，，，以抵达反探测的目的；；；；；；；；另外一方面这种伪造的装备指纹也被使用来做诱捕，，，，，，，，如伪装成为一个保存误差的装备，，，，，，，，以蜜罐诱捕的方法诱使其他黑客发送使用代码举行攻击，，，，，，，，从而获得误差使用细节。。。。。。。。因此，，，，，，，，我们将此类僵尸所构建的可以对误差和攻击样本举行诱捕的僵尸网络命名为“僵尸蜜网”。。。。。。。。

通过我们自己的物联网威胁数据平台及相关情报的交织印证，，，，，，，，发明“僵尸蜜网”包括两类样本。。。。。。。。第一类是诱捕与反探测节点，，，，，，，，对该样本举行二进制文件相似度比对发明其攻击模�？？？？？？？楹屯ㄑ缎橛隡oobot家族高度相似，，，，，，，，推测与Moobot家族同源，，，，，，，，因此将这类新型的恶意程序命名为Moobot_Trap，，，，，，，，其借鉴了蜜罐的设计头脑，，，，，，，，除了伪装自身为其他装备外，，，，，，，，还能通过诱捕其它攻击者的误差使用情报与攻击样本，，，，，，，，来无邪快速的升级其武器库，，，，，，，，增强自身的攻击与防御能力。。。。。。。。第二类是构建署理网络的恶意署理节点，，，，，，，，我们将其命名为Mal_Proxy，，，，，，，，通过下发恶意署理模�？？？？？？？�，，，，，，，，攻击者能够将受熏染或购置的装备作为新节点来署理恣意流量，，，，，，，，进而一直生长壮大其署理网络。。。。。。。。恶意流量经署理网络中转至Tor网络或真实C&C，，，，，，，，一方面可以阻止直接袒露身份，，，，，，，，另一方面也能更好的穿透某些网络防火墙的限制。。。。。。。。通过现在掌握的数据连系物联网僵尸样本的剖析，，，，，，，，我们还原出了该僵尸网络的攻击模子如图2所示：

万利国际官网(中国游)有限公司

图2：”僵尸蜜网“攻击模子

进一步溯源后，，，，，，，，我们发明这次攻击背后的组织可能同时掌控着包括Moobot、LeeHozer、Gafgyt变种在内的多个僵尸网络。。。。。。。。该组织不但具有多种0Day和Nday误差攻击的能力，，，，，，，，还善于通过署理网络、Tor网络等署理手艺来增强通讯的匿名化，，，，，，，，从而提高其C&C效劳器的隐藏性。。。。。。。。本文将对捕获到的僵尸样本、恶意署理程序及其攻击链举行剖析，，，，，，，，并进一步对背后的黑客组织以及这些僵尸网络间的关联性睁开剖析和追踪。。。。。。。。

二、攻击资源剖析

在追踪历程中，，，，，，，，我们发明“僵尸蜜网”与多个僵尸网络间保存较强的关联性，，，，，，，，包括Moobot、LeetHozer以及Gafgyt变种等等。。。。。。。。以Moobot和LeetHozer两类僵尸网络为例，，，，，，，，proxy.2u0apcm6ylhdy7s.com域名曾作为Mal_Proxy的Downloader URL以及Moobot的C2；；；；；；；；elrooted.com相关子域名曾用于Mal_Proxy的C2以及Moobot、LeetHozer的Downloader URL，，，，，，，，类似域名资产重用的征象，，，，，，，，批注两类僵尸很有可能源自统一组织。。。。。。。。我们整理了关联样本的撒播和执行流程如图3所示：

万利国际官网(中国游)有限公司

图3：关联样本的撒播和执行流程图

其中，，，，，，，，Moobot是样本数目最多且一连活跃的一类僵尸，，，，，，，，我们发明的具备诱捕及反探测能力的Moobot_Trap即是其同源家族。。。。。。。。同时，，，，，，，，由于Moobot前期撒播的样本涉及Socks和Tor版本，，，，，，，，也可能与此次发明的恶意署理程序有关。。。。。。。。LeetHozer僵尸则是通过Socks5协媾和Tor C&C建设毗连，，，，，，，，且与Mal_Proxy的活跃时间相近，，，，，，，，推测LeetHozer内置的署理节点列表很大可能就是黑客控制的恶意署理网络。。。。。。。。

凭证现在的监测情形，，，，，，，，该组织单日提倡的攻击次数约在100次左右，，，，，，，，被攻击目的则主要漫衍在中国、美国、俄罗斯、德国等国家，，，，，，，，其中针对我国的攻击大多集中在新疆、河南、江苏、台湾等地区，，，，，，，，攻击纪录示例如图4：

万利国际官网(中国游)有限公司

图4：攻击纪录

万利国际官网(中国游)有限公司

图5：境内受攻击IP位置漫衍图

别的，，，，，，，，该组织还具备很强的误差使用能力，，，，，，，，已知的武器库包括今年头披露的LILIN DVR 0Day误差、HiSilicon DVR backdoor 0Day误差，，，，，，，，以及诸多影响规模普遍、危害严重的Nday误差，，，，，，，，一些被果真的误差POC也往往会被迅速集成并应用于其误差扫描模�？？？？？？？�，，，，，，，，思量到黑客还可以通过伪装的诱捕节点网络其它攻击者的情报及样本情形，，，，，，，，我们预计其可用的误差资源很是重大。。。。。。。。通过现在监测发明及相关报告中披露的误差使用情形，，，，，，，，该组织使用的误差如表1所示：

表1：误差使用列表

万利国际官网(中国游)有限公司

在域名资产方面，，，，，，，，该组织使用时间较长、频次较高的域名为elrooted.com、2u0apcm6ylhdy7s.com以及顶级域名.xyz下的部分域名。。。。。。。。这三类域名下的子域名恒久被剖析并用于其样本的DownloaderURL或C&C。。。。。。。。其中，，，，，，，，185.172.110.0/23网段关联着大宗僵尸，，，，，，，，例如185.172.110.240、185.172.110.224、185.172.110.235等等。。。。。。。。

基于现在掌握的情形，，，，，，，，我们总结该组织的特点如下：

● 该组织可能掌控着包括Moobot、LeeHozer、Gafgyt_variant在内的多个僵尸网络，，，，，，，，攻击目的遍布全球，，，，，，，，且近期仍在坚持高频率的攻击活动

● 掌握着署理网络资源，，，，，，，，与其它使用署理网络的僵尸保存一定关联，，，，，，，，且可能在地下论坛出售署剖析见权限

● 善于0DAY、NDAY误差使用

● 善于使用Socks5署理、Tor网络等C&C隐藏手艺

● 样本扫描模�？？？？？？？槁茉诙嘀盅局行魃�，，，，，，，，扫描效率高

● 样本具备诱捕及反探测能力，，，，，，，，能够捕获其它黑客的攻击情报

● 具备一定的清静对抗能力，，，，，，，，样本迭代更新快、免杀性好，，，，，，，，频仍替换UPX幻数壳、更新敏感信息加密算法及通讯协议等

三、攻击样天职析

由于该组织拥有着两类僵尸节点（诱捕与反探测节点、署理节点），，，，，，，，我们也将重点对这两类节点相关的样本举行剖析。。。。。。。。第一类样本为Moobot_Trap，，，，，，，，其伪装成为DVR实现诱捕与反侦测的功效；；；；；；；；第二类样本为实现反追踪并与Tor网络对接的Socket5署理节点，，，，，，，，包括恶意样本Mal_Proxy和LeeHozer。。。。。。。。

3.1Moobot_Trap剖析

Moobot_Trap僵尸是一个功效完整的僵尸程序，，，，，，，，其功效包括诱捕监测以及反探测、误差扫描、DDos攻击。。。。。。。。通过样本的相似度比对，，，，，，，，我们最终确定Moobot_Trap与Moobot家族同源，，，，，，，，其攻击代码和通讯协议具有高度的相似性。。。。。。。。Moobot僵尸自2019年下半年最先活跃，，，，，，，，其恒久使用误差举行扩散与熏染，，，，，，，，该僵尸接纳一种疏散扫描的方法举行攻击，，，，，，，，即不将所有误差扫描方法集成在单个样本内，，，，，，，，而是将种种误差漫衍在多类Bot样本中，，，，，，，，以提高扫描效率降低被发明的几率。。。。。。。。Moobot_Trap也延续此种特征，，，，，，，，但其最主要改变是加入诱捕和反探测能力，，，，，，，，其在受熏染装备上开启一个mini_httpd效劳，，，，，，，，并伪装成DVR装备，，，，，，，，一方面用于诱捕误差和攻击样本，，，，，，，，一方面可以诱骗种种装备探测平台。。。。。。。。

详细剖析样本如表2所示：

表2：样本信息

万利国际官网(中国游)有限公司

3.1.1 诱捕与反探测模�？？？？？？？槠饰�

该模�？？？？？？？槲耸迪钟詹豆π�，，，，，，，，将自动开启WEB效劳端口(80、8080、8000)与数据库HSQL的效劳端口(9002)，，，，，，，，一旦收到外界的http协议的扫描探测，，，，，，，，便会返回伪装的装备指纹。。。。。。。。现在发明的Moobot_Trap将受控装备伪装成DVR装备，，，，，，，，不过黑客可以通过更新模�？？？？？？？槔幢浠恢肝菩畔�。。。。。。。。别的该模�？？？？？？？榛鼓芄患嗫赝饨缍愿米氨阜⒍墓セ鞑⒔セ餍畔⑸媳ǜ诳驮は劝才诺腃&C效劳器上，，，，，，，，以此黑客可以获取到误差扫描特征和攻击样本。。。。。。。。

( 1 ) 反探测：现在最为主流的装备探测手艺依然是基于指纹实现的，，，，，，，，如Shodan、ZoomEye、Censys以及种种误差扫描产品，，，，，，，，因而Moobot_Trap还提供一类能力就是给扫描源提供伪造的信息，，，，，，，，以诱骗扫描引擎做蜕化误的决议。。。。。。。。一则Moobot_Trap可以将自身伪装成为一个坚如盘石的装备，，，，，，，，让扫描引擎以为这是一台清静的装备而降低被发明的几率；；；；；；；；一则Moobot_Trap也可以将入侵的装备伪装成为一个保存新果真误差的装备，，，，，，，，其可以起到诱捕一些未果真的误差使用代码。。。。。。。。在我们目今所发明的僵尸网络中，，，，，，，，其中被入侵的任何一台装备都将被识别成为一个提供mini_httpd效劳的DVR装备(用于诱捕Mini_httpd1.19相关的误差使用代码)。。。。。。。。

万利国际官网(中国游)有限公司

图6：扫描指纹示例

Mini_httpd是一款微型的Http效劳器，，，，，，，，在占用系统资源较小的情形下可以坚持一定水平的性能，，，，，，，，因此普遍被种种物联网装备（路由器，，，，，，，，交流器，，，，，，，，摄像头等）作为嵌入式效劳器使用。。。。。。。。而包括华为、海�？？？？？？？低印yxel、树莓派等厂商的旗下装备都曾接纳Mini_httpd组件，，，，，，，，影响规模很广，，，，，，，，相关误差可能影响全球数百万装备。。。。。。。。以是黑客此类新颖的手艺思绪运用也需要引起我们足够的重视。。。。。。。。

( 2 ) 诱捕：我们知道，，，，，，，，现实网络中保存大宗蠕虫和僵尸网络，，，，，，，，他们永不中止地扫描探测网络资源，，，，，，，，同时他们也在实时更新其探测特征，，，，，，，，如黑客们的0day/Nday误差扫描特征。。。。。。。。而大部分可用于蠕虫和僵尸撒播的物联网误差都集中在HTTP效劳的远程下令执行误差(占比更多的Telnet类攻击以弱口令为主，，，，，，，，此处不表)。。。。。。。。该恶意模�？？？？？？？檎且曰袢〈死辔蟛罟セ餍形康�，，，，，，，，在启动端口上监视wget、tftp、/bin/sh下令，，，，，，，，网络误差信息和撒播样本。。。。。。。。下图是一个远程下令执行误差的Payload：

万利国际官网(中国游)有限公司

图7：扫描Payload示例

当某些攻击者、蠕虫或者僵尸程序针对受熏染装备举行误差扫描或代码植入时，，，，，，，，一旦攻击Payload中携带有指定命令（如图中的wget）时，，，，，，，，该数据即被视为有用情报被转发至Moobot_Trap黑客的C&C。。。。。。。。通过这种类似蜜罐的监测手艺，，，，，，，，黑客可以捕获到大宗误差使用代码，，，，，，，，甚至是0day误差，，，，，，，，更进一步，，，，，，，，还能够通过撒播的僵尸样原来提取和研究更多有价值的误差或手艺。。。。。。。。

从上面的剖析我们还可以看出，，，，，，，，若是黑客组织具备足够的手艺实力，，，，，，，，还能通过捕获的扫描信息获取到其它僵尸网络的Download IP或C&C并进一步实验入侵。。。。。。。。通常情形下攻击者的许多效劳器都来自误差入侵、Telnet爆破等等，，，，，，，，那么这些效劳器资产就很有可能被黑客组织二次入侵，，，，，，，，原控制者拥有的肉鸡资源也可能被共享或接受。。。。。。。。下文我们将对Moobot_Trap举行剖析与叙述。。。。。。。。

Moobot_Trap首先会在80、8080、8000、9002四种端口中随机选择其一建设效劳端监听，，，，，，，，可以以为黑客的目的就是网络这四类端口的扫描数据。。。。。。。。

万利国际官网(中国游)有限公司

图8：选择端口建设监听

当攻击者扫描响应端口且发送的请求数据包括wget、tftp、/bin/sh下令时，，，，，，，，Moobot_Trap会返回伪造的mini_httpd效劳器信息并将请求数据转发给C&C，，，，，，，，之后关闭与客户端的毗连（模拟HTTP无毗连请求）。。。。。。。。

万利国际官网(中国游)有限公司

图9：返回mini_httpd效劳器信息

毗连C&C则是加密存储在内存中（敏感信息加密将在后续章节剖析）。。。。。。。。

万利国际官网(中国游)有限公司

图10：转发数据

模拟一次扫描的现真相形，，，，，，，，当攻击者针对诱捕节点举行误差扫描时，，，，，，，，交互流量数据包如图11所示：

万利国际官网(中国游)有限公司

图11：交互数据包

Moobot_Trap检测到wget下令时，，，，，，，，会识别为有用情报，，，，，，，，并将扫描信息以如下的形式上报至C&C。。。。。。。。

万利国际官网(中国游)有限公司

图12：上报扫描数据

上报数据名堂如表3所示：

表3：上报数据名堂

万利国际官网(中国游)有限公司

3.1.2 敏感信息加密

加密数据并非整段存储在代码中，，，，，，，，而是将字符串常量支解成多个部分存放在rodata和text段，，，，，，，，这也会给剖析事情造成一定的滋扰。。。。。。。。

万利国际官网(中国游)有限公司

图13：加密字符串

详细加解密算法与Mirai相同，，，，，，，，密钥为0x0deadbeef，，，，，，，，所有字符串的使用都是用时解密，，，，，，，，用完即恢复加密，，，，，，，，加解密算法如图14所示：

万利国际官网(中国游)有限公司

图14：加解密算法

3.1.3 端口扫描和信息上报

Moobot扫描模�？？？？？？？榻幽扇�，，，，，，，，并将扫描效果上报Reporter，，，，，，，，最后由Loader针对误差装备植入样本，，，，，，，，历史上其保存多种扫描版本：

( 1 ) TCP:23,26 (Telnet)

( 2 ) TCP:34567 (DVRIP)

( 3 ) TCP:4567(TVT)

( 4 ) TCP:5555 (ADB)

( 5 ) TCP:80,81,82,83,85,88,8000,8080,8081,9090,60001 (HTTP)

关于扫描http效劳的样本，，，，，，，，若是检测到如下Http Server则会上报Reporter。。。。。。。。样本解密后用于检测的效劳器字符串示例如下：

"Server: JAWS/1.0."

"Server: DWS."

"URL=/view/viewer_index.shtml?id=."

"Server: thttpd/2.25b PHP/20030920."

"Server: Boa/0.93.15."

这些差别扫描种类的样本的DownloaderURL通常也是以对应误差装备的名称来命名和分类，，，，，，，，例如：

表4：DownloadURL特点

万利国际官网(中国游)有限公司

关于扫描使用的爆破凭证，，，，，，，，除了部分内置列表，，，，，，，，还可以向C&C发送请求指令以获取爆破名称密码列表，，，，，，，，请求值差别对应差别的爆破组合值。。。。。。。。

万利国际官网(中国游)有限公司

图15：返回爆破组合

当扫描发明可用误差装备则会向Reporter上报装备信息。。。。。。。。

图16：上报装备信息

表5：上报装备信息剖析

万利国际官网(中国游)有限公司

3.1.4 通讯协议及攻击模�？？？？？？？�

Moobot_Trap在通讯协议方面与之前的版本有所转变，，，，，，，，乐成建设毗连后，，，，，，，，首先会向控制端发送上线包。。。。。。。。

图17：上线数据包

表6：上线数据包剖析

万利国际官网(中国游)有限公司

之后距离60秒循环向控制端发送心跳包[0x00 0x00]（牢靠值），，，，，，，，控制端则距离20秒向僵尸程序回包[0x33 0x66 0x99]（牢靠值）。。。。。。。。

万利国际官网(中国游)有限公司

图18：心跳数据包

当控制端发送的指令前三字节非[0x33 0x66 0x99]时，，，，，，，，则进入攻击模式剖析指令。。。。。。。。

万利国际官网(中国游)有限公司

图19：剖析攻击

攻击模�？？？？？？？榉矫�，，，，，，，，Moobot_Trap延用了Mirai的攻击形式，，，，，，，，样本包括7种攻击模式。。。。。。。。

万利国际官网(中国游)有限公司

图20：攻击模式

攻击指令数据包如图21所示：

对应结构体示意如下：

type Attack struct {

Duration uint32

Type uint8

Targets counts uint8

Targets map[uint32]uint8

Flags counts uint8

Flags map[uint8]string

}

表7：攻击指令剖析

万利国际官网(中国游)有限公司

3.2Mal_Proxy剖析

Mal_Proxy是黑客组织用于构建署理网络的焦点模�？？？？？？？�，，，，，，，，其可以提供署理效劳以及信息上报功效。。。。。。。。该模�？？？？？？？榍嵊扌�，，，，，，，，攻击者可以通过参数设置署理效劳，，，，，，，，程序启动后受控装备即作为署理节点加入到署理网络中，，，，，，，，为黑客的恶意活动提供隐匿�；；；；；；；；�。。。。。。。。

Mal_Proxy保存两个版本，，，，，，，，V1版本C2为cest4.elrooted.com，，，，，，，，V2版本C2则包括hxarasxg.hxarasxg.xyz和da.elrooted.com。。。。。。。。其中V2版本增添了参数启动、Socks5协议认证模式及UPX壳，，，，，，，，并修改了壳的幻数（现实幻数0xBC7A3331）以对抗剧本脱壳。。。。。。。。Mal_Proxy样本均被剥离符号且未留下任何与署理相关的字符串、特征等信息，，，，，，，，说明该组织具备一定的清静对抗履历，，，，，，，，有意给剖析职员制造更多的难题，，，，，，，，也使得Mal_Proxy坚持了很是好的免杀性。。。。。。。。

后文以V2版本为例举行详细剖析，，，，，，，，并会穿插一些V1版本的比照，，，，，，，，样本信息如表8所示：

表8：样本信息

万利国际官网(中国游)有限公司

3.2.1 参数启动模式

Mal_Proxy V1版本并不具备参数启动模式，，，，，，，，其署理端口号是通过时间戳盘算出的随机值获得（端口规模：0至65535）。。。。。。。。

万利国际官网(中国游)有限公司

图22：V1版本获取随机端口

Mal_Proxy V2版本则添加了参数启动模式，，，，，，，，从而可以越发无邪的设置署理端口以及Socks5协议的用户名/密码认证模式。。。。。。。。参数启动共包括三种下令参数，，，，，，，，下令形式为：

Mal_Proxy -pport -u user -P password

其中-p为指定的署理绑定端口，，，，，，，，-u、-P为设置用户名/密码认证模式，，，，，，，，如不设置默以为无需认证方法。。。。。。。。

V2版本无参启动会默认绑定外地28105端口，，，，，，，，并以无需认证的方法执行程序。。。。。。。。

万利国际官网(中国游)有限公司

图23：参数启动

程序执行后会在差别阶段Fork多线程，，，，，，，，并通过差别线程执行响应的功效模�？？？？？？？�，，，，，，，，包括信息上报模�？？？？？？？楹褪鹄硇Ю湍？？？？？？？？�。。。。。。。。

3.2.2 信息上报模�？？？？？？？�

V2版本的信息上报模�？？？？？？？橥钟胁魏臀薏瘟街帜Ｊ�，，，，，，，，详细上报信息同参数内容有关。。。。。。。。而V1版本仅有一种上报方法，，，，，，，，即V2版本的无参模式。。。。。。。。

万利国际官网(中国游)有限公司

图24：V1版本信息上报

万利国际官网(中国游)有限公司

图25：V2版本两类信息上报方法

无参上报数据包：

万利国际官网(中国游)有限公司

图26：V2版本无参上报数据包

有参上报数据包：

图27：V2版本有参上报数据包

表9：V2版本上报数据包剖析

万利国际官网(中国游)有限公司

程序每距离300秒循环向hxarasxg.hxarasxg.xyz:38129发送心跳包上报参数信息。。。。。。。。同时程序模拟了域名盘问请求，，，，，，，，通过公共效劳DNS（8.8.8.8）来自行剖析IP，，，，，，，，从而避免hosts或resolv.conf被改动或挟制造成的DNS盘问异常。。。。。。。。

万利国际官网(中国游)有限公司

图28：V2版本信息上报

3.2.3 署理效劳模�？？？？？？？�

署理模�？？？？？？？橄叱淌紫然岚蠖ḿ嗵獾刂付ǘ丝冢ㄊ鹄矶丝冢�，，，，，，，，并通过listen、accept等操作函数来建设监听并吸收客户端请求。。。。。。。。

万利国际官网(中国游)有限公司

图29：绑定监听署理端口

之后署理模�？？？？？？？榛峤徊秸攵钥突Ф说那肭缶傩信卸虾托Ｑ�，，，，，，，，例如针对0x05 0x01 0x00 0x03内容的校验，，，，，，，，实则为Socks5协议认证阶段的握手历程，，，，，，，，进一步剖析后可以确认该模�？？？？？？？槭腔赟ocks5协议的恶意署理程序效劳端。。。。。。。。

万利国际官网(中国游)有限公司

图30：Socks5协议校验

3.2.4 Socks5协议先容

Socks5是一种网络传输协议，，，，，，，，主要用于客户端与外网效劳器之间通讯的中心转达。。。。。。。。此协议并不认真署理效劳器的数据传输环节，，，，，，，，而是在 C/S 两头真实交互之间，，，，，，，，建设起一条从客户端到署理效劳器的授信毗连。。。。。。。。�？？？？？？？突Ф耸紫刃枰托Ю投司傩形帐秩现�，，，，，，，，可以接纳用户名/密码认证或者无需认证方法，，，，，，，，握手乐成后即可进入数据传输阶段，，，，，，，，协议原理如图31所示：

万利国际官网(中国游)有限公司

图31：Socks5协议原理

以某次通过Socks5署理传输的攻击指令为例，，，，，，，，在已经借助署理协议建设毗连的情形下，，，，，，，，C&C下发的攻击指令经署理网络（54.188.198.118:9090）中转后传输到Bot，，，，，，，，此时捕获的流量是无法获取到真实C&C地点的，，，，，，，，在一定水平上可以抵达隐藏C&C的目的。。。。。。。。

万利国际官网(中国游)有限公司

图32：署理传输攻击指令流量

从另一个角度思量，，，，，，，，Socks5协议虽然在传输阶段具有隐藏C&C的效果，，，，，，，，但其作为透明署理并不具备加密功效，，，，，，，，认证和毗连阶段也并不清静。。。。。。。。若是能够嗅探协商握手阶段的数据流量，，，，，，，，依然能够剖析并获取到样本毗连的真实C&C。。。。。。。�；；；；；；；；谡庑┰倒试�，，，，，，，，一些黑客还会进一步使用Tor 网络来增强隐匿性，，，，，，，，由于Tor网络每一条通讯链路都由若干随机选取的Tor节点组成，，，，，，，，且通讯数据举行了多层加密，，，，，，，，纵然获取到Tor C&C也难以溯源到隐藏的真实效劳器，，，，，，，，以是在隐匿性方面Tor网络是更好的选择。。。。。。。。虽然Tor网络也有其误差，，，，，，，，由于毗连的重大性，，，，，，，，Tor网络的传输速率和乐成率往往难以包管。。。。。。。。综合而言，，，，，，，，思量到现真相形中监听受控效劳器署理客户端到署理效劳器的所有流量是很是难题的，，，，，，，，以是无论是通俗署理网络，，，，，，，，照旧进一步使用Tor网络都能够在一定水平上为僵尸网络提供富足的隐匿�；；；；；；；；�。。。。。。。。

3.3LeeHozer剖析

LeeHozer是一类借助Socks5协议与Tor C&C通讯的新型僵尸家族，，，，，，，，其设计了相对严谨而重大的通讯协议。。。。。。。。由于样本下载地点(http://exec.elrooted.com/uc/i686)与Mal_ProxyC&C(cest4.elrooted.com)使用了相同的二级域名，，，，，，，，且同期两类样本均更新迭代了参数启动的新版本，，，，，，，，我们以为二者有着较强的关联性。。。。。。。。下文以V3版本为例举行剖析，，，，，，，，并对其参数启动、扫描模�？？？？？？？椤⒖刂浦噶畹裙πУ母律肚樾尉傩兴得�。。。。。。。。

表10：样本信息

万利国际官网(中国游)有限公司

LeetHozer的攻击目的主要是针对IOT装备，，，，，，，，一旦装备重启，，，，，，，，其内存中的Bot程序也会随之消逝。。。。。。。。以是LeetHozer会通过向watchdog（看门狗）发送0x80045704来禁用watchdog功效，，，，，，，，从而避免装备重启。。。。。。。。

万利国际官网(中国游)有限公司

图33：禁用watchdog

同时程序会在console中输出/bin/sh: ./filename: not found疑惑用户，，，，，，，，之后执行端口扫描上报，，，，，，，，协议校验上线和攻击模�？？？？？？？榈裙π�。。。。。。。。

万利国际官网(中国游)有限公司

图34：console输出

3.3.1 敏感信息加密

LeetHozer接纳了自界说的算法加密资源信息，，，，，，，，加密密钥为qE6MGAbI。。。。。。。。相关算法如图35所示：

万利国际官网(中国游)有限公司

图35：加密算法

解密后的资源信息如表11所示：

表11：解密资源信息

万利国际官网(中国游)有限公司

3.3.2 端口扫描和信息上报

LeeHozer复用了Mirai的扫描形式，，，，，，，，如扫描并上岸乐成后则上报装备信息，，，，，，，，且差别版本具有差别的扫描模式。。。。。。。。

表12：扫描模式

万利国际官网(中国游)有限公司

V2版本扫描9530端口：

万利国际官网(中国游)有限公司

图36：9530端口扫描

V3版本则有所差别，，，，，，，，相较于之前的版本，，，，，，，，V3版本增添了参数启动设置。。。。。。。。若是无参执行样本，，，，，，，，默认不会执行扫描功效；；；；；；；；而若是启动程序时添加telnet参数则会举行扫描操作（如“./samples telnet”）

万利国际官网(中国游)有限公司

图37：23/26端口扫描

万利国际官网(中国游)有限公司

图38：上报Reporter

3.3.3 通讯协议及攻击模�？？？？？？？�

LeeHozer建设通讯的历程较为重大，，，，，，，，首先其会通过Socks5协议毗连署理网络，，，，，，，，从而进一步与Tor C&C建设毗连：

万利国际官网(中国游)有限公司

图39：Socks5协议交互

若是目今Socks署理毗连失效，，，，，，，，程序会随机从内置的107个署理中选择其一并重新建设署理毗连，，，，，，，，内置署理列表如下：

表13：署理列表

万利国际官网(中国游)有限公司

这批署理资源很有可能就是通过Mal_Proxy建设，，，，，，，，虽然，，，，，，，，其中也可能包括一些共享资源和免费节点。。。。。。。。

当LeeHozer乐成和C&C建设毗连后，，，，，，，，还需经由两轮校验交互才华真正实现上线。。。。。。。。

第一轮校验：

Client->Server：

校验请求包长度为255字节，，，，，，，，但只有前32字节为有用内容。。。。。。。。

万利国际官网(中国游)有限公司

图40：第一轮校验请求包

表14：第一轮校验请求包剖析

万利国际官网(中国游)有限公司

盘算校验值的算法如图41所示：

万利国际官网(中国游)有限公司

图41：盘算校验值

Server->Client:

控制端回包同样为255字节，，，，，，，，前32字节有用。。。。。。。。

万利国际官网(中国游)有限公司

图42：第一轮控制端回包

客户端会针对回包的两个标记位举行校验，，，，，，，，划分为0x70f1和0x4819，，，，，，，，校验通事后继续举行第二轮交互。。。。。。。。

万利国际官网(中国游)有限公司

图43：标记位校验

第二轮校验：

Client->Server：

客户端校验请求包仍为255字节，，，，，，，，前32字节有用，，，，，，，，部分数据源自第一轮效劳端的回包。。。。。。。。

图44：第二轮校验请求包

表15：第二轮校验请求包剖析

Server->Client:

第二循环包与第一循环包相似，，，，，，，，总长255字节，，，，，，，，前32字节有用。。。。。。。。

万利国际官网(中国游)有限公司

图45：第二轮控制端回包

客户端对0x70F2和0x2775两个标记位校验乐成后，，，，，，，，僵尸的上线历程才算完成，，，，，，，，之后僵尸期待控制端下发指令，，，，，，，，其中指令的首字节指定了控制指令类型。。。。。。。。

控制指令共包括三类：

表16：控制指令类型

万利国际官网(中国游)有限公司

0x00 心跳包：

图46：心跳包

0x01 发送标识信息：

图47：发送标识信息

如首字节为其它值，，，，，，，，则会剖析详细的指令功效，，，，，，，，LeetHozer差别版本的功效指令如表18所示：

表17：功效指令表

万利国际官网(中国游)有限公司

图48：V3版本攻击指令判断

我们视察到，，，，，，，，近期LeeHozer仍在一连睁开攻击活动，，，，，，，，攻击指令如图48所示：

万利国际官网(中国游)有限公司

图49：攻击指令数据包

表18：攻击指令数据剖析

万利国际官网(中国游)有限公司

溯源与关联

值得注重的是，，，，，，，，LeeHozer在代码中多处使用了与vbrxmr相关的字符串，，，，，，，，例如‘GET /vbrxmr/i586 HTTP/1.0’、‘/bin/busybox VBRXMR’，，，，，，，，以及C2（vbrxmrhrjnnouvjf.onion）等。。。。。。。。与之相关的，，，，，，，，Hoaxcalls(XTC)僵尸网络曾使用cbc.vbrxmr.pw作为C2，，，，，，，，代码中也泛起过vbrxmr字符串，，，，，，，，且同样可以借助署理网络通讯（具备Fastflux功效），，，，，，，，Vbrxmr的频仍泛起也不得不让人嫌疑两者之间保存一定的关联。。。。。。。。

万利国际官网(中国游)有限公司

图50：Hoaxcalls字符串

别的，，，，，，，，通过搜索LeeHozer的加密密钥qE6MGAbI，，，，，，，，还发明了另一种使用署理通讯的样本，，，，，，，，且其使用的署理列表也和LeeHozer有部分重合。。。。。。。。

万利国际官网(中国游)有限公司

图51：某署理样本字符串

类似的关联批注这些使用署理的僵尸网络控制者间或多或少保存着一些联系，，，，，，，，黑客们很可能在地下论坛生意署理资源、共享代码或是通过代码模拟来疑惑研究职员。。。。。。。。

四、总结

随着物联网时代的快速生长，，，，，，，，清静对抗也在一直升级和进化。。。。。。。。�？？？？？？？梢钥吹�，，，，，，，，越来越多的攻击者实验从更多的维度开展攻击活动和清静对抗。。。。。。。。一方面，，，，，，，，越来越多的攻击者最先借助署理网络来增强隐匿清静，，，，，，，，署理资源作为隐匿C&C的前置网络无疑是一个重大的威胁和隐患；；；；；；；；另一方面，，，，，，，，也泛起了使用恶意样本实现诱捕监测和反探测能力的应用新思绪，，，，，，，，这些都会给物联网装备的清静防护和研究事情带来更多的转变，，，，，，，，后续我们也会举行一连的关注和追踪。。。。。。。。

IOC信息

Moobot：

URL :

http://exec.elrooted.com/ab/i686

http://conn.elrooted.com/li/arm

http://91.92.66.87:80/420/adb/x86

http://185.163.46.6/a/x86_64

http://5.252.179.60/b/x86_64

http://185.172.110.224/ab/i586

C2：

proxy.2u0apcm6ylhdy7s.com

abcdefg.elrooted.com

park.elrooted.com

frsaxhta.elrooted.com

cccc.elrooted.com

205.185.114.231

185.172.110.224

Reporter IP：

gfedcba.elrooted.com

hello.elrooted.com

HASH：

1a64cd13d9c71542ce60183356a615505f10ddc192eded5fce0f0075f3ad7648

ca3889994301f28baa791f4ef1aa473b0bc6e975cda703195787872795171869

e9a7aab3ab25c0a091d98d3ae4a313fba3b3bd0588bfe8e3624ec016bc11f02e

2516bdc3ae3818e30e1145f75811937e29ce10f94722c6da1ea7c28f4c0bc3dc

a6e18135a2afcd96957bff63388501465f5a1203b2d22ee0f1074661e286d9e3

59b1ca2d47af1d5b60b84c3a9d6a64a09b7340864b9e90247466d7f91ed53b84

d5d5488ae9c80558cc4634ce6d51837d82347fd48d1a665e606dcfbfdf638b7b

Mal_Proxy：

URL ：

http://proxy.2u0apcm6ylhdy7s.com/b/x86_64

http://proxy.2u0apcm6ylhdy7s.com/b/armv7l

C2：

hxarasxg.hxarasxg.xyz

cest4.elrooted.com

da.elrooted.com

185.172.110.240

HASH：

a67f79c7ae6b1177309cb328d3ec93ec91960edf457a4f5a74120baaf80139ee V2

04114bd136941811e355df28e9b2eeaa941a04b61b185fd214a4c54daa171e1c V2

80f1973b82cbea485f27eb8c44983c565701fdc4e6d3e994ed57bf57a66b9c81 V2

f91427e74a84c34d329116443fa1c89c63dab57e01129345a9f9ed364533dd49 V1

4ed3c601022b4d8c1478521241b847dcacecd837bc75547f3a378ee9d5b9e15f V1

b41de82ea89e2ceedda5b4a856c273c4ce06429d876ee4a05ee9a2423741461f V1

LeeHozer：

C2：

vbrxmrhrjnnouvjf.onion:31337

37.49.226.171:31337

w6gr2jqz3eag4ksi.onion:31337

Reporter IP:

report.infidel.ml:9814

HASH：

84efc5ce8a0729b1248b5f7a43ddf371f517ac0a0eea0a5b0674ce195be61b8e v3

ca8095af62b836f3ddd12007bc8cb67cdd39266c3d40179691f9ee1ca94e9428 v2

1c5349696c04dfa8e0f458ad1d9aa360f4768b21d3dd83fb98d935691b1b2a88 v1

参考文献：

1.https://blog.radware.com/security/botnets/2020/05/whos-viktor-tracking-down-the-xtc-polaris-botnets/

2.https://blog.netlab.360.com/the-leethozer-botnet-en/

3.https://www.exploit-db.com/exploits/48225

4.https://blog.netlab.360.com/multiple-botnets-are-spreading-using-lilin-dvr-0-day/

5.https://habr.com/en/post/486856/

原文泉源：网络清静应急手艺国家工程实验室

本报告由CNCERT物联网清静研究团队与万利国际官网集团ADLab攻防实验室联合宣布

万利国际官网起劲防御实验室（ADLab）

ADLab建设于1999年，，，，，，，，是中国清静行业最早建设的攻防手艺研究实验室之一，，，，，，，，微软MAPP妄想焦点成员，，，，，，，，“黑雀攻击”看法首推者。。。。。。。。阻止现在，，，，，，，，ADLab已通过CVE累计宣布清静误差1000余个，，，，，，，，通过 CNVD/CNNVD累计宣布清静误差800余个，，，，，，，，一连坚持国际网络清静领域一流水准。。。。。。。。实验室研究偏向涵盖操作系统与应用系统清静研究、移动智能终端清静研究、物联网智能装备清静研究、Web清静研究、工控系统清静研究、云清静研究。。。。。。。。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静效劳等。。。。。。。。

万利国际官网(中国游)有限公司

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究

僵尸蜜网：首款具备诱捕及反探测能力的物联网僵尸网络

关于万利国际官网

解决计划

清静研究

联系万利国际官网

7*24小时效劳热线