• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

Momentum僵尸网络:DDOS攻击和IoT漏洞利用


This Wind

Recommended Posts

研究人员近期发现一个影响Linux设备的恶意软件活动,进一步分析提取的样本发现这些活动都与一个僵尸网络有关——Momentum。研究人员发现该僵尸网络正在利用被黑的设备执行DDOS攻击。

Momentum僵尸网络主要攻击目标是不同CPU架构的Linux设备,包括 ARM, MIPS, Intel, Motorola 68020等CPU架构。恶意软件的是主要目的是打开后门,并接收命令来针对给定目标发起DOS攻击。Momentum僵尸网络传播的后门是Mirai, Kaiten, Bashlite变种,研究人员分析的样本中推送的是Mirai后门。此外,Momentum还利用不同路由器和web服务的漏洞来在不同目标设备上下载和执行shell脚本。

Momentum工作原理

感染设备后,Momentum会尝试修改rc文件来实现驻留,然后加入C2服务器,连接到名为#HellRoom的IRC信道来注册自己和接收命令。IRC协议是与C2服务器进行通信的主要方法。僵尸网络运营者会通过发送消息到IRC信道来控制受感染的系统。

Momentum僵尸网络:DDOS攻击和IoT漏洞利用

图 1. 受感染的设备加入攻击者IRC命令和控制信道

Momentum僵尸网络:DDOS攻击和IoT漏洞利用

 图 2. 命令和控制信息路径(下载/传播服务器,IRC服务器)

如图2所示,传播服务器上有许多恶意软件可执行文件。其他的服务器是僵尸网络的C2服务器。C2服务器的最后活动日期是2019年11月18日。

通信链路建立后, Momentum可以利用被黑的设备使用不同的命令来发起攻击。比如,Momentum可以应用36种不同的方法来发起DoS攻击。

Momentum僵尸网络:DDOS攻击和IoT漏洞利用

表 1. Momentum使用的不同的DOS攻击方法

恶意软件使用已知的反射和放大方法来发起工具,比如MEMCACHE, LDAP, DNS,Valve Source Engine。在这些类型的攻击中,恶意软件可以伪造源IP地址发起针对受害者IP地址的洪泛攻击。

除了DOS攻击外,研究人员还发现Momentum可以执行其他动作,比如在给定IP上的端口上打开代理,修改客户端昵称,禁用或启用来自客户端的包等等。

Momentum DOS攻击

LDAP DDoS反射

在LDAP DDoS反射中,恶意软件可以用伪造的源IP地址来欺骗目标系统的LDAP服务器,引发到目标的大量响应消息。

Memcache攻击

在Memcache攻击中,远程攻击者可以使用伪造源IP的方式构造和发送恶意UDP请求。Memcached服务器会发送一个很大的响应到目标。Momentum使用HTTP GET请求来下载反射文件——恶意软件在其他放大DOS攻击中也使用相同的请求。

根据Shodan的数据,有超过42000有漏洞的memcached服务器受到此类攻击的影响。

Momentum僵尸网络使用下面的HTTP GET请求来下载反射文件:

GET / HTTP/1.1
User-Agent: Mozilla/4.75 [en] (X11; U; Linux 2.2.16-3 i686)
Host: :80
Accept: */*
Connection: Keep-Alive

UDP-BYPASS攻击

在UDP-BYPASS攻击中,Momentum会通过在特定端口构造和上传合法的UDP payload来对目标主机发起洪泛攻击。在攻击中,恶意软件会选择随机的端口和对应的payload,然后发送来发起攻击。恶意软件在该攻击中会使用多线程技术,每个线程对应一个端口和payload。

下表是一些端口和对应的payload:

Momentum僵尸网络:DDOS攻击和IoT漏洞利用

表 2. 端口和对应的payload

上面提到的大多数脚本用于服务发现。如果这些脚本在一段时间内发送给目标设备,就会引发dos攻击。

Phatwonk攻击 

Phatwonk攻击可以一次执行多种DoS方法,包括 XMAS, all flags at once, usyn (urg syn),任意TCP flag融合。

Momentum的其他能力

除了DOS攻击外,恶意软件一般还会尝试绕过检测、维护开放通信等。Momentum也有许多启动的能力来帮助传播和入侵设备:

Fast flux。Momentum僵尸网络使用fast flux技术来使C2网络更加可靠。Fast flux网络意味着一个域名有多个相关IP地址,可以快速修改IP,攻击者可以使用它来误导或绕过安全调查人员。

后门。攻击者可以发送命令到IRC信道,恶意软件客户端在受感染的系统上接收和执行。攻击者执行后会将结果发送回相同的IRC信道。

复制和传播。Momentum会尝试利用表中列出的漏洞来进行复制和传播。研究人员分析发现某个C2服务器上有超过1200个受害者。

CCTV-DVR RCE漏洞利用形式:

Momentum僵尸网络:DDOS攻击和IoT漏洞利用

ZyXEL路由器漏洞利用格式

Momentum僵尸网络:DDOS攻击和IoT漏洞利用 

Huawei路由器漏洞利用格式

Momentum僵尸网络:DDOS攻击和IoT漏洞利用

D-Link HNAP1    

Momentum僵尸网络:DDOS攻击和IoT漏洞利用

相关SDK UPnP SOAP 命令执行

Momentum僵尸网络:DDOS攻击和IoT漏洞利用     

GPON80     

Momentum僵尸网络:DDOS攻击和IoT漏洞利用

GPON8080

Momentum僵尸网络:DDOS攻击和IoT漏洞利用     

GPON443

Momentum僵尸网络:DDOS攻击和IoT漏洞利用     

JAWS Webserver非认证的shell命令执行

Momentum僵尸网络:DDOS攻击和IoT漏洞利用 

Vacron NVR RCE 

Momentum僵尸网络:DDOS攻击和IoT漏洞利用

UPnP SOAP命令执行

Momentum僵尸网络:DDOS攻击和IoT漏洞利用 

THINK-PHP

Momentum僵尸网络:DDOS攻击和IoT漏洞利用

HooTooTripMate RCE

Momentum僵尸网络:DDOS攻击和IoT漏洞利用

表 3. 复制和传播过程中利用的漏洞和漏洞利用

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/ddos-attacks-and-iot-exploits-new-activity-from-momentum-botnet/
Link to comment
Share on other sites

  • 1 month later...
  • 8 months later...

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now