Water Barghest物联网设备漏洞快速变现策略深度解析

摘要

截至2024年10月，Water Barghest控制的僵尸网络已感染超过20,000台物联网设备。该组织通过利用漏洞快速感染设备，并将其作为住宅代理在市场上出售获利。

其僵尸网络使用自动化脚本从Shodan等公共互联网扫描数据库中发现和入侵易受攻击的物联网设备。一旦设备被入侵，就会部署Ngioweb恶意软件，该软件在内存中运行并连接到命令与控制（C&C）服务器，将受感染设备注册为代理节点。

从初始感染到设备作为代理在住宅代理市场上可用，整个过程可能仅需10分钟，显示出高度高效和自动化的操作能力。

技术细节

自动化操作流程

Water Barghest几乎自动化了从发现漏洞到变现的每个环节（图1）。操作流程包括：

1. 漏洞获取：主要使用已知漏洞（n-day），但在至少一个案例中使用了零日漏洞
2. 设备发现：通过Shodan等公开扫描数据库搜索易受攻击设备
3. 漏洞利用：使用数据中心IP地址尝试利用漏洞
4. 恶意软件部署：成功入侵后下载脚本，尝试不同架构的Ngioweb样本
5. 代理注册：恶意软件在内存中运行并注册到C&C服务器
6. 市场上市：设备在几分钟内即可在代理市场上出售

Ngioweb恶意软件演进

2018年：基于Ramnit的Windows僵尸网络

• 通过Ramnit木马传播
• 设计用于将受感染机器变为恶意代理服务器
• 使用ngioweb[.]su作为C&C域名

2019年：WordPress服务器僵尸网络

• 出现Linux变种
• 添加域名生成算法（DGA）功能
• 主要针对安装WordPress的web服务器

2020年：物联网设备僵尸网络

• 目标转向物联网设备
• 支持多种架构的样本编译
• 利用9种不同的n-day漏洞

2024年：目标扩展

• 新版本Ngioweb功能增强：
  • 运行时初始化函数指针（增加静态分析难度）
  • 重命名为"[kworker/0:1]“伪装内核线程
  • 关闭标准文件描述符防止错误报告
  • 禁用内核看门狗
  • 使用AES-256-ECB加密配置

技术特征分析

Ngioweb恶意软件的主要技术特点：

1. 配置加密：使用AES-256-ECB加密配置数据
2. DGA算法：生成域名与C&C服务器通信
3. 双阶段C&C：使用两阶段命令控制服务器
4. 网络规则操纵：添加iptables规则防止连接重置

1
2
3
4

# Ngioweb配置解密示例
GET /jquery.js?h=aWQ9MDEyMzQ1Njc4OWFiY2RlZiZ2PWFybXY3bCZzdj0yNzFhJnlic25xbndmYXR5anV0c2w= HTTP/1.1
# 解码后：
id=0123456789abcdef&v=armv7l&sv=271a&ybsnqnwfatyjutsl

支持的设备类型

Water Barghest针对的物联网设备品牌包括：

• Cisco
• DrayTek
• Fritz!Box
• Linksys
• Netgear
• Synology
• Tenda
• Western Digital
• Zyxel

防御建议

1. 减少暴露面：避免将物联网设备暴露在公共互联网上
2. 及时更新：定期更新设备固件和软件
3. 网络分段：将IoT设备隔离在独立网络段
4. 监控检测：实施网络流量监控和异常检测

威胁情报

Trend Micro Vision One客户可通过以下方式获取相关威胁情报：

• Intelligence Reports应用[IOC扫描]
• Threat Insights应用
• 专门的狩猎查询

完整的IOC列表和YARA规则可在提供的GitHub存储库中找到。

本文基于对Water Barghest组织的技术分析，提供了详细的技术细节和防御建议，帮助安全团队更好地应对类似的物联网安全威胁。