1. 概述
俄烏衝突開始以來,物理戰爭如火如荼,目前雖已陷入僵持狀態,但網路世界的對抗持續進行。其中以烏方組織The IT Army of Ukraine和俄方組織KillNet最具實力和代表性,同行曝光的NoName057(16)和DDosia也是其中的新勢力,夾雜著其他大大小小的組織,雙方陣營在網路世界以 DDoS 攻擊為武器,展開了多次較量。
奇安信威脅情報中心對全球範圍的 DDoS 攻擊活動也進行了長期監測,本文整理一下 2022 年第四季度我們看到的俄烏雙方陣營針對重要目標的攻擊活動,並對個別案例進行深入分析。
2. 典型攻擊事件
我們對 2022 年第四季度中俄烏雙方的 DDoS 攻擊事件分別做了統計,其中一部分針對俄方重點目標的 DDoS 攻擊活動列表如下:
針對烏方陣營多個國家的重點目標 DDoS 攻擊活動如下:
可見雙方發起 DDoS 攻擊最常用的殭屍網路家族是 Mirai,其次是 Moobot,Fodcha 偶爾也摻和一下,打出一大波攻擊。
同一個 C&C 既攻擊過俄方目標,也攻擊過烏方陣營的目標,一般這種 C&C 背後都是 DDoS 攻擊平臺,提供 DDoS 攻擊租賃服務。另外,也可以看到,摻雜多種 DDoS 攻擊方式的混合攻擊也很多,理論上這樣可以提高 DDoS 攻擊的成功率,增加受害目標的防護成本。
3. 殭屍網路案例探究
在關注俄烏衝突背景下的殭屍網路和 DDoS 攻擊活動的過程中,我們注意到一個可疑的 Moobot 家族殭屍網路,其 C&C 域名為 s7.backupsuper.cc。這個殭屍網路有以下特點:
C&C 域名 2022 年 10 月初註冊,10 月底配置解析並上線,上線後立即利用 IoT 設備漏洞CVE-2016-6563發起傳播
最開始利用 IoT 設備漏洞傳播的是一個固定 Scanner IP185.122.204.30,該 IP 位於俄羅斯莫斯科,該傳播行為一直持續到 2022.11.13
啟動傳播沒幾天就頻繁攻擊與俄方有摩擦的國家所屬的重要目標,並且很少攻擊其他目標,攻擊之後即停手,後續再沒發起過任何攻擊。
據此我們有理由懷疑它背後的控制者可能是親俄人員或組織。
根據我們的威脅情報資料,backupsuper.cc 域名註冊於2022-10-03,而 s7.backupsuper.cc 啟用於2022-10-24,迄今共解析過 4 個 IP:
另根據我們的 PassiveDNS 資料,該 C&C 域名上線後即發起了一大波傳播,域名的訪問立即有了一波高峰,後面略有起伏,但訪問量總體趨於下降。這說明最初該家族的樣本確實控制了大量設備,而隨後由於各種原因,該家族控制的失陷設備數量漸漸減少:
我們的未知威脅監控系統的監測資料顯示,該殭屍網路樣本最早通過CVE-2016-6563漏洞傳播,立即感染了大批設備,後面樣本中加上了CVE-2017-17215漏洞利用開啟了蠕蟲式傳播。這樣該殭屍網路就以固定 IP 的掃描器利用漏洞和蠕蟲式傳播兩種方式結合傳播,但根據我們的 PassiveDNS 資料顯示,後期可能並未感染太多設備。該殭屍網路的惡意樣本的傳播高峰期在 2022.10.30——2022.11.13 期間,總體趨勢如下:
該家族利用漏洞成功感染設備後,會下載並執行一個惡意 Shell 腳本,惡意 Shell 腳本會暴力下載多個架構的 Moobot 樣本並嘗試執行。根據惡意 Shell 腳本中的程式碼來看,攻擊者構建的惡意樣本支持以下 CPU 架構:
ARM5
ARM6
ARM7
M68K
PPC
SH4
x86
x86-64
MIPS
MIPSLE
目前該家族傳播惡意樣本的下載連結均已失效,但不排除將來再啟動新的傳播,或者有類似的新殭屍網路出現,我們會持續關注。
4. 總結
俄烏衝突以來,至今物理戰爭已進入僵持階段,但雙方陣營在網路空間的較量一直比較激烈。除了比較隱秘的組織,雙方陣營還有不同的攻擊組織一直在把各種攻擊活動公開化,引起更多人關注或者加入他們的活動,其中加密勒索、資料擦除和 DDoS 都是常用的攻擊手段。
參與雙方 DDoS 攻擊活動的組織,或者攻擊工具、Botnet 家族,除了新勢力的出現,比如 NoName057(16) Bobik 和 DDosia,業界已經曝光過的 Botnet 家族比如 Mirai/Moobot/Fodcha 等發起攻擊活動也不容小覷。我們會持續監測雙方陣營的攻擊活動。
點選閱讀原文至ALPHA 6.0
即刻助力威脅研判
