IoT僵尸网络与2024年底以来大规模DDoS攻击的关联 | Trend Micro (美国)
摘要
自2024年底以来,我们持续观察到一个IoT僵尸网络通过其命令与控制(C&C)服务器针对日本及其他全球国家发起大规模分布式拒绝服务(DDoS)攻击。该僵尸网络利用Mirai和Bashlite衍生的恶意软件变种,通过漏洞和弱凭据感染IoT设备。感染阶段包括下载并执行连接到C&C服务器的恶意软件负载以接收攻击命令。
僵尸网络的命令包括多种DDoS攻击方法、恶意软件更新和代理服务启用。攻击目标地理分布广泛,主要集中在北美和欧洲。国内(日本)和国际目标在命令使用上存在差异,对不同行业部门的影响各异。僵尸网络中使用的主要设备是知名品牌的无线路由器和IP摄像头。
技术分析
初始感染
该僵尸网络由源自Mirai和Bashlite(也称为Gafgyt和Lizkebab等)的恶意软件组成。它通过利用远程代码执行(RCE)漏洞或弱初始密码感染IoT设备,并经历以下感染阶段:
- 恶意软件通过利用RCE漏洞或弱密码渗透设备,然后在受感染主机上执行下载脚本。该脚本从分发服务器下载并执行第二阶段可执行文件(加载器)。
- 可执行文件(加载器)通过HTTP从分发服务器下载可执行负载(实际恶意软件)。在此期间,可执行负载被写入内存映像并执行,因此可执行文件不会留在受感染主机上。此外,HTTP请求中设置了特定的User-Agent标头,防止通过正常Web访问下载可执行负载。
- 可执行负载(实际恶意软件)连接到C&C服务器,并等待DDoS攻击等命令。当接收到命令时,它根据内容执行相应操作。
图1:从分发服务器下载二进制文件的代码,带有自定义User-Agent标头
命令
命令消息是文本消息,开头添加了2字节的消息长度,并使用以下结构:
<消息长度2字节>.<文本消息>
文本消息部分是一个字符串,表示命令和参数,以空格分隔(例如,类似"syn xxx.xxx.xxx.xxx 0 0 60 1"的消息)。此命令表示它对攻击目标IP地址xxx.xxx.xxx.xxx的随机端口号(0表示随机)执行60秒的SYN Flood攻击。
我们发现可能使用表1中所示的命令。从识别的命令中,我们发现感染此恶意软件的主机不仅可能参与DDoS攻击,还可能被用作地下代理服务的一部分。表1显示了通过分析识别的命令。
| 命令 | 描述 |
|---|---|
| socket | 使用大量TCP连接执行DDoS攻击 |
| handshake | 通过建立大量TCP连接并发送随机数据执行DDoS攻击 |
| stomp | 使用简单文本定向消息协议执行DDoS攻击(在TCP连接后发送大量随机负载) |
| syn | 执行TCP SYN Flood攻击 |
| ack | 执行TCP ACK Flood攻击 |
| udph | 执行UDP Flood攻击 |
| tonudp | 对恶意软件内硬编码的目标执行UDP Flood攻击 |
| gre | 使用通用路由器封装协议执行DDoS攻击 |
| update | 更新恶意软件的执行代码 |
| exec | 在受感染主机上执行命令 |
| kill | 强制终止恶意软件的进程 |
| socks | 连接到指定IP地址并使受感染主机可用作Socks代理服务器(使用开源反向Socks代理代码) |
| udpfwd | 将指定端口的UDP消息转发到指定目的地 |
表1:命令列表
停用看门狗定时器
恶意软件停用看门狗定时器,防止设备在DDoS攻击期间检测到高负载时重启。此行为在过去Mirai变种中也观察到。
注意:看门狗定时器(WDT)是计算机系统上定期启动的程序,具有确认系统继续运行的定时器功能。它检测主程序挂起等状态。
图2:停用看门狗定时器的恶意软件代码
使用iptables命令
恶意软件滥用Linux系统中的iptables命令来延迟感染发现并操纵DDoS攻击中使用的数据包。
在启动期间,恶意软件使用图3所示代码设置iptables规则。这些规则执行以下操作:
- 允许来自LAN侧的TCP连接请求
- 拒绝来自WAN侧的TCP连接请求
- 允许与已建立TCP连接相关的数据包接收
- 允许与C&C服务器的通信
通过拒绝来自WAN侧的TCP连接请求,我们认为意图是防止其他利用相同漏洞入侵的僵尸网络感染。允许来自LAN侧的TCP连接使管理员能够访问设备的管理控制台,从而难以检测设备异常。
图3:恶意软件在初始化阶段设置的iptables规则
恶意软件在执行命令时动态设置必要的iptables规则。当执行udpfwd命令时,它设置允许接收指定端口外部UDP数据包的配置。当执行socket命令时,它设置拒绝发送TCP RST数据包的配置。
图4:执行“udpfwd”命令时恶意软件设置的iptables规则
图5:执行socket命令时设置iptables规则
DDoS攻击目标分析
本节讨论我们对命令中包含的IP地址的分析结果。以下图表均在2024年12月27日至2025年1月4日期间收集和汇总。
检查IP地址攻击目标的位置时,我们可以看到攻击包括亚洲、北美、南美和欧洲。计算唯一IP地址字符串的数量(包括将IP范围指定为一个案例的情况),目标主要集中在北美和欧洲,美国占17%,巴林占10%,波兰占9%。
图6:目标IP位置映射结果
图7:DDoS攻击目标国家分布
我们观察到针对日本(本研究中重点关注)和其他国际目标的攻击中使用的命令类型存在差异。对于国际目标,我们发现了如socket和handshake等未在针对日本目标的攻击中使用的命令。此外,stomp命令在针对日本的攻击中更频繁,占21%,而在针对国际目标的攻击中仅占7%。相反,gre命令在针对日本的攻击中较少见,但在针对国际目标的攻击中更频繁,占16%。此外,我们发现有时两个或更多命令组合使用,针对单个组织进行攻击。
1月11日后,我们观察到针对日本组织的socket和handshake命令被发布到僵尸网络。然而,攻击没有持续很长时间。随后,转而进行了其他DDoS攻击。我们认为攻击背后的行为者在这些组织采取DDoS攻击对策后测试这些命令的有效性。
图8:观察到的攻击命令比例
对于针对日本组织的攻击,确认了对运输、信息和通信以及金融和保险行业的尝试。对于国际组织,对信息和通信行业的攻击最频繁,占34%,而对金融和保险行业的攻击约占8%。
虽然存在一些共同点,但在国际目标中缺乏针对运输行业的攻击命令存在显著差异。
图9:日本以外目标行业分布(统计数据仅从观察到的攻击命令中机械验证的IP地址行业计算)
僵尸网络趋势
我们使用全球威胁情报监控与僵尸网络C&C服务器的通信。结果,我们识别了348个用于攻击的设备的IP地址。此外,通过调查这些设备的属性和设备供应商,我们获得了以下结果。
图10:基于分类设备的224个IP地址设备分析。左图显示设备类别,右图显示设备供应商分布(统计数据仅从348个识别的僵尸网络设备中确认信息的设备计算)。
攻击中使用的大多数设备是无线路由器,占总数的80%,其次是IP摄像头,占15%。就供应商而言,TP-Link和Zyxel无线路由器分别占52%和20%,而海康威视IP摄像头占12%。对于设备分布,印度占僵尸网络位置的57%,南非占17%。
图11:348个作为僵尸网络一部分的IP地址设备的国家分布
近年来,利用IoT设备作为网络攻击平台的情况有所增加。这些设备可能感染僵尸恶意软件并被纳入僵尸网络,生成和传输大量流量,要么通过DDoS攻击造成损害,要么用作入侵其他网络的跳板。以下是使这些设备易受攻击的一些因素:
- 未能更改默认设置:许多用户不更改设备的默认设置(尤其是默认密码),使攻击者容易访问机器固件。
- 缺乏更新:旧固件和软件通常具有已知漏洞,可被攻击者利用。
- 缺乏安全功能:一些IoT设备缺乏足够的安全功能,使它们更易受攻击。
防止僵尸网络感染传播的对策
为防止或最小化僵尸网络扩展和影响,我们推荐以下最佳实践以提高设备安全性:
- 购买设备后立即将默认用户名和密码更改为安全且难以暴力破解的凭据。
- 定期应用制造商提供的最新固件和软件,防止攻击者利用设备中的漏洞和弱点。
- 考虑禁用未使用的远程访问或端口转发功能。
- 将IoT设备分离到专用网络中,以降低对其他系统的风险。
- 审查家庭路由器的设置,避免打开不必要的端口。
- 正确管理和配置机器和其他资产,包括IoT设备,以消除设备在未被识别的情况下运行的情况,并防止留下不必要的设备未使用。
- 如果必须从互联网使用管理功能,将访问源限制到最小必要,防止滥用。
针对特定类型DDoS攻击的对策
本博客条目中讨论的IoT僵尸网络执行的DDoS攻击分为两种类型:通过发送大量数据包使网络过载的攻击,以及通过建立大量会话耗尽服务器资源的攻击。此外,我们观察到两个或更多命令组合使用,可能同时发生网络过载攻击和服务器资源耗尽攻击。
以下是每种攻击类型可考虑的对策示例。我们建议组织考虑实施这些建议,考虑其环境并咨询其签约的通信服务提供商。
UDP Flood攻击对策
- 使用防火墙或路由器阻止特定IP地址或协议并限制流量。
- 与通信服务提供商合作,在骨干或网络边缘过滤DDoS流量。
- 加强路由器硬件以增加可处理的数据包数量。
- 执行实时监控并阻止具有高通信流量的IP地址。
TCP相关攻击对策(TCP SYN Flood、TCP ACK Flood、STOMP Flood、GRE Flood、socket、handshake)
- 使用CDN提供商分发和减轻攻击负载。
- 限制特定IP地址在一定时间内可发送的请求数量。
- 使用第三方服务分离攻击流量并处理清洁流量。
- 执行实时监控并阻止具有高连接数的IP地址。
- 使用IDS/IPS检测并阻止异常流量。
- 通过行为分析切断长时间连接但未发送数据包的客户端。
- 加强服务器硬件以增加可处理的数据包数量。
- 增加服务器连接上限以提高可用性。
- 缩短超时时间以快速重用服务器资源。
此外,其他类型的DDoS攻击可能由其他IoT僵尸网络执行。有关此类DDoS攻击的概述和对策,请参考美国网络安全和基础设施安全局(CISA)提供的指南。
Trend Vision One威胁情报
为领先于不断演变的威胁,Trend Vision One™客户可以在Vision One内访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络威胁发生之前保持领先,并通过提供有关威胁行为者、其恶意活动及其技术的全面信息,使他们能够为新兴威胁做好准备。通过利用此情报,客户可以采取主动步骤保护其环境、减轻风险并有效应对威胁。
- Trend Vision One情报报告应用[IOC扫描]:与2024年底以来大规模DDoS攻击相关的IoT僵尸网络
- Trend Vision One威胁洞察应用:新兴威胁:与2024年底以来大规模DDoS攻击相关的IoT僵尸网络
狩猎查询
Trend Vision One搜索应用
Trend Vision One客户可以使用搜索应用在其环境内匹配或狩猎本博客文章中提到的恶意指标。
MIRAI检测查询:
(malName:*MIRAI* AND eventName:MALWARE_DETECTION AND LogType: detection AND LogType: detection
更多狩猎查询可用于具有威胁洞察权限的Vision One客户。
结论
如最近僵尸网络攻击所示,使用受感染设备可能导致攻击跨越物理边界并对目标国家或地区造成重大损害。彻底实施IoT设备安全措施至关重要,以避免成为此类攻击的“帮凶”。通过采取主动步骤保护IoT设备,个人和组织可以帮助防止僵尸网络的传播并防范与这些类型攻击相关的潜在网络威胁。
危害指标(IOC)
本条目的危害指标可在此处找到。