IoT僵尸网络与大规模DDoS攻击关联分析（2024年底以来）

摘要

自2024年底以来，我们持续监测到一个IoT僵尸网络通过利用易受攻击的物联网设备（如无线路由器和IP摄像头）发起大规模分布式拒绝服务（DDoS）攻击。该僵尸网络针对日本及其他国家的多家公司，包括主要日本企业和银行。攻击导致部分组织报告了网络服务暂时中断。本文总结了攻击命令并报告了分析结果。

技术分析

初始感染

该僵尸网络由Mirai和Bashlite（又名Gafgyt、Lizkebab等）衍生的恶意软件组成，通过利用远程代码执行（RCE）漏洞或弱初始密码感染IoT设备。感染阶段包括：

1. 恶意软件利用RCE漏洞或弱密码渗透设备，在受感染主机上执行下载脚本，从分发服务器下载并执行第二阶段可执行文件（加载器）。
2. 可执行文件（加载器）通过HTTP从分发服务器下载可执行负载（实际恶意软件）。期间，可执行负载被写入内存映像并执行，避免在受感染主机上留下文件。此外，HTTP请求中设置了特定User-Agent头，防止通过正常网络访问下载可执行负载。
3. 可执行负载（实际恶意软件）连接到命令与控制（C&C）服务器，等待DDoS攻击等命令。收到命令后，根据内容执行相应操作。

图1. 从分发服务器下载二进制文件的代码（自定义User-Agent头）

1
2

// 示例代码：设置自定义User-Agent进行下载
char *user_agent = "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36";

命令

命令消息为文本消息，开头添加2字节消息长度，结构如下： <消息长度2字节>.<文本消息> 文本消息部分是由空格分隔的命令和参数字符串（例如：“syn xxx.xxx.xxx.xxx 0 0 60 1”）。此命令表示对目标IP地址xxx.xxx.xxx.xxx的随机端口号（0表示随机）进行60秒的SYN Flood攻击。

识别出的命令包括：

• socket: 使用大量TCP连接执行DDoS攻击
• handshake: 通过建立大量TCP连接并发送随机数据执行DDoS攻击
• stomp: 使用简单文本导向消息协议执行DDoS攻击（TCP连接后发送大量随机负载）
• syn: 执行TCP SYN Flood攻击
• ack: 执行TCP ACK Flood攻击
• udph: 执行UDP Flood攻击
• tonudp: 对恶意软件内硬编码目标执行UDP Flood攻击
• gre: 使用通用路由器封装协议执行DDoS攻击
• update: 更新恶意软件的执行代码
• exec: 在受感染主机上执行命令
• kill: 强制终止恶意软件进程
• socks: 连接到指定IP地址，使受感染主机可用作Socks代理服务器（使用开源反向Socks代理代码）
• udpfwd: 将指定端口的UDP消息转发到指定目的地

表1. 命令列表

停用看门狗定时器

恶意软件停用看门狗定时器（WDT），防止设备在DDoS攻击期间因检测到高负载而重启。此行为在以往Mirai变种中也有观察到。看门狗定时器是一种定期启动的程序，具有确认系统持续运行的计时功能，可检测主程序挂起等状态。

图2. 停用看门狗定时器的恶意软件代码

1
2

// 示例代码：停用WDT
system("echo 1 > /proc/sys/kernel/watchdog");

使用iptables命令

恶意软件滥用Linux系统中的iptables命令，延迟感染发现并操纵DDoS攻击中的数据包。启动时，恶意软件使用以下代码设置iptables规则：

• 允许来自LAN侧的TCP连接请求
• 拒绝来自WAN侧的TCP连接请求
• 允许与已建立TCP连接相关的数据包接收
• 允许与C&C服务器的通信

通过拒绝来自WAN侧的TCP连接请求，意图可能是防止利用相同漏洞入侵的其他僵尸网络感染。允许来自LAN侧的TCP连接使管理员能访问设备管理控制台，难以检测设备异常。

图3. 恶意软件在初始化阶段设置的iptables规则

1
2
3

# 示例规则
iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -s 10.0.0.0/8 -j DROP

执行命令时，恶意软件动态设置必要的iptables规则。执行udpfwd命令时，设置允许接收指定端口外部UDP数据包的配置。执行socket命令时，设置拒绝发送TCP RST数据包的配置。

图4. 执行“udpfwd”命令时设置的iptables规则

1
2

# 允许UDP数据包
iptables -A INPUT -p udp --dport 53 -j ACCEPT

图5. 执行socket命令时设置iptables规则

1
2

# 拒绝TCP RST
iptables -A OUTPUT -p tcp --tcp-flags RST RST -j DROP

DDoS攻击目标分析

本节讨论对命令中包含的IP地址的分析结果。所有数据在2024年12月27日至2025年1月4日期间收集和汇总。检查攻击目标IP地址位置时，攻击涵盖亚洲、北美、南美和欧洲。计算唯一IP地址字符串数量（包括IP范围指定为一种情况的情况），目标主要集中在美国（17%）、巴林（10%）和波兰（9%）。

图6. 目标IP位置映射结果 （显示攻击目标地理分布的热力图或地图可视化）

图7. DDoS攻击目标国家分布 （条形图或饼图显示国家分布比例）

我们观察到针对日本（本研究重点）和其他国际目标的攻击命令类型存在差异。对于国际目标，发现了如socket和handshake等未用于日本目标的命令。此外，stomp命令在日本目标攻击中更频繁（21%），而在国际目标攻击中仅占7%。相反，gre命令在日本目标攻击中较少见，但在国际目标攻击中更频繁（16%）。还发现有时针对单个组织结合使用两个或多个命令。

1月11日后，我们观察到向僵尸网络发布了针对日本组织的socket和handshake命令，但攻击未持续长时间。随后改为进行其他DDoS攻击。我们认为攻击者在这些组织采取DDoS攻击对策后测试这些命令的有效性。

图8. 观察到的攻击命令比率 （柱状图显示不同命令的使用频率对比）

对于针对日本组织的攻击，确认了针对运输、信息与通信以及金融与保险行业的尝试。对于国际组织，信息与通信行业的攻击最频繁（34%），而金融与保险行业的攻击约占8%。尽管存在一些共性，但国际目标缺乏针对运输行业的攻击命令存在显著差异。

图9. 日本以外目标行业分布 （仅从观察到的攻击命令中机械验证的IP地址行业计算统计）

僵尸网络趋势

我们使用全球威胁情报监控与僵尸网络C&C服务器的通信，识别出348个用于攻击的设备IP地址。通过调查这些设备的属性和供应商，获得以下结果。

图10. 基于分类设备的224个设备IP地址分析 （左图显示设备类别，右图显示设备供应商分布；统计仅从348个已识别僵尸网络设备中确认信息的设备计算）

攻击中使用的大多数设备是无线路由器，占总数的80%，其次是IP摄像头（15%）。供应商方面，TP-Link和Zyxel无线路由器分别占52%和20%，而海康威视IP摄像头占12%。设备分布方面，印度占僵尸网络位置的57%，南非占17%。

图11. 348个僵尸网络设备IP地址的国家分布 （地图或条形图显示设备地理分布）

近年来，利用IoT设备作为网络攻击平台的情况增加。这些设备可能感染僵尸恶意软件并被纳入僵尸网络，生成和传输大量流量，通过DDoS攻击造成损害，或用作入侵其他网络的跳板。以下是一些使这些设备易受攻击的因素：

• 未更改默认设置：许多用户未更改设备的默认设置（尤其是默认密码），使攻击者易于访问设备固件。
• 缺乏更新：旧固件和软件通常具有可被攻击者利用的已知漏洞。
• 缺乏安全功能：部分IoT设备缺乏足够的安全功能，更易受攻击。

防止僵尸网络感染传播的对策

为防止或最小化僵尸网络扩展和影响，推荐以下最佳实践以提高设备安全性：

• 购买设备后立即将默认用户名和密码更改为安全且难以暴力破解的凭据。
• 定期应用制造商提供的最新固件和软件，防止攻击者利用设备漏洞和弱点。
• 考虑禁用未使用的远程访问或端口转发功能。
• 将IoT设备分离到专用网络，降低对其他系统的风险。
• 审查家庭路由器设置，避免打开不必要的端口。
• 正确管理配置机器和其他资产（包括IoT设备），消除设备在未被识别的情况下运行的情况，防止闲置不必要的设备。
• 如需从互联网使用管理功能，将访问源限制到最小必要范围，防止滥用。

针对特定类型DDoS攻击的对策

本博客讨论的IoT僵尸网络执行的DDoS攻击分为两种类型：通过发送大量数据包使网络过载的攻击，以及通过建立大量会话耗尽服务器资源的攻击。此外，我们观察到结合使用两个或多个命令，可能同时发生网络过载攻击和服务器资源耗尽攻击。

以下是每种攻击类型可考虑的对策示例。建议组织根据自身环境考虑实施这些建议，并咨询签约的通信服务提供商。

UDP Flood攻击对策

• 使用防火墙或路由器阻止特定IP地址或协议，限制流量。
• 与通信服务提供商合作，在网络骨干或边缘过滤DDoS流量。
• 加强路由器硬件，增加可处理的数据包数量。
• 实时监控并阻止高通信流量的IP地址。

TCP相关攻击对策（SYN Flood、ACK Flood、STOMP Flood、GRE Flood、socket、handshake）

• 使用CDN提供商分发和缓解攻击负载。
• 限制特定IP地址在特定时间段内可发送的请求数量。
• 使用第三方服务分离攻击流量并处理清洁流量。
• 实时监控并阻止高连接数的IP地址。
• 使用IDS/IPS检测并阻止异常流量。
• 通过行为分析切断长时间连接但未发送数据包的客户端。
• 加强服务器硬件，增加可处理的数据包数量。
• 提高服务器连接上限，改善可用性。
• 缩短超时时间，快速重用服务器资源。

此外，其他IoT僵尸网络可能执行其他类型的DDoS攻击。有关此类DDoS攻击的概述和对策，请参考美国网络安全和基础设施安全局（CISA）提供的指南。

Trend Vision One威胁情报

为领先于不断演变的威胁，Trend Vision One™客户可在Vision One内访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络威胁发生前保持领先，并通过提供有关威胁行为者、恶意活动及其技术的全面信息，为新兴威胁做好准备。通过利用此情报，客户可以采取主动步骤保护环境、减轻风险并有效应对威胁。

Trend Vision One情报报告应用[IOC扫描]

• IoT僵尸网络与2024年底以来大规模DDoS攻击的关联

Trend Vision One威胁洞察应用

• 新兴威胁：2024年底以来与大规模DDoS攻击相关的IoT僵尸网络

狩猎查询

Trend Vision One搜索应用 Trend Vision One客户可使用搜索应用匹配或狩猎本博客文章中提到的恶意指标，使用其环境内的数据。

MIRAI检测查询

1

(malName:*MIRAI* AND eventName:MALWARE_DETECTION AND LogType: detection)

更多狩猎查询可用于已启用威胁洞察授权的Vision One客户。

结论

如近期僵尸网络攻击所示，使用受感染设备可能导致攻击跨越物理边界并对目标国家或地区造成重大损害。彻底实施IoT设备安全措施至关重要，以避免成为此类攻击的“帮凶”。通过采取主动步骤保护IoT设备，个人和组织可帮助防止僵尸网络传播并防范与这些类型攻击相关的潜在网络威胁。

危害指标（IOC）

本条的危害指标可在此处找到。