网络 “冠状病毒” |优发国际网站官网ADLab团结CNCERT物联网清静研究团队宣布最新研究报告

宣布时间 2020-03-27

概况

随着“新型冠状病毒肺炎”上升为全球性公共卫生突发事务，各国民众开启了“宅抗疫、云生涯”模式。在很是时期，网络空间在人们的一样平常生涯变得越发不可或缺，然而当各人都在奋力抗疫的同时，大宗的黑客却最先以“冠状病毒”名义从事大规模的网络攻击运动，除了现在已经发明以冠状病毒为名举行的APT攻击、勒索病毒攻击之外，物联网领域中以冠状病毒为名的相关攻击也快速上升。

这些物联网“冠状病毒”样本以“Corona”（冠状的英文）、“covid”（冠状病毒英文缩写）命名，并使用物联网装备所保存的误差举行撒播。我们通过监测数据发明，该类样本的数目与疫情生长泛起一定水平的相关性，好比进入3月份随着全球疫情一连升温，以“covid”命名的样本最先显著增多。

物联网“冠状病毒”样本统计剖析

阻止到2020年3月26日，我们的物联网威胁数据平台共捕获到801个以冠状病毒命名的样本。我们针对这些物联网“冠状病毒”样本举行了仿真情形动态剖析，样本的C&C上线漫衍情形如图1所示。

优发国际·随优而动一触即发

图1 僵尸样本C&C上线漫衍

数据显示，这批物联网“冠状病毒”样本中共近90%的样本受控于位于美国的5个C&C服务器，7%位于俄罗斯，4%位于荷兰。其中有6个C&C服务器在疫情时代较为活跃，且关联的样本量较大，包括X86、ARM、MIPS、PowerPC、SPARC、Renesas SH等多个平台的ELF文件。通过进一步的同源性剖析，我们将这些样天职成两类，划分命名为Corona-A、Corona-B，后文将进一步探讨它们的手艺特点和所属家族。

这批“冠状病毒”样本的主要撒播手段仍然是通过内置密码本举行Telnet密码爆破，部分样本使用到了“Redis 未授权代码执行”等多个已知误差使用举行撒播。另外在我们溯源剖析的历程中，发明相关组织近期使用最新的误差CVE-2020-9054[1]（Zyxel网络隶属存储（NAS）装备）开展攻击运动。据著名视察职员Brian Krebs的说法，该误差的相关POC在地下论坛被以2万美元的价钱出售，同时也吸引了大宗勒索软件攻击组织的兴趣（可能还与Emotet有关）。由于误差的严重性，美国CERT/CC将该误差定为CVSS10分。

表1 样本撒播使用的装备误差

优发国际·随优而动一触即发

手艺剖析

1、Corona-A类样本手艺剖析

在对Corona-A类样本举行整体剖析后，我们发明其中的变种虽多，但种种样本间的相似度很高，故以近期活跃的C&C (192[.]3[.]193[.]251)为例，对关联样本举行逆向剖析，其多种架构的样本均被命名为“Corona”。

优发国际·随优而动一触即发

图2 Shell剧本

僵尸程序运行后，首先绑定外地端口0x22B8（8888端口），毗连C&C地点为：192[.]3[.]193[.]251:20。

优发国际·随优而动一触即发

图3 监听外地端口

通过ensure_bind函数确保样本程序只保存单实例运行。

优发国际·随优而动一触即发

图4 检查单实例运行

执行botkiller�？橐陨ǔ渌４婢赫闹髁鹘┦绦�。

优发国际·随优而动一触即发

图5 执行botkiller�？�

需扫除的僵尸家族和关联字符串如下图所示：

优发国际·随优而动一触即发

图6 扫除的目的家族及关联字符串

恶意代码中多处硬编码了“Corona”要害词，包括上线数据包和毗连中止的输出显示（僵尸服务端可能将“Corona”作为通讯协议识别的要害特征）。

优发国际·随优而动一触即发

图7 硬编码“Corona”要害词

上线包及C&C回复包通讯流量如下图所示：

优发国际·随优而动一触即发

图8 TCP通讯流量

样本的proc_cmd()函数包括DDoS攻击�？�，其融合了多种常见的攻击模式，包括UDP、VSE、HTTP、TCP、STD、XMAS等。同时在针对该C&C监控的历程中，我们发明其近期发动的DDoS攻击运动较为频仍，主要目的为西欧国家，部分攻击示例如下图所示：

优发国际·随优而动一触即发

图9 攻击情形示例

基于样本的代码结构、函数命名、通讯流量、攻击模式等特征，可以发明Corona-A类样本与Gafgyt家族的相似度很高，黑客虽对通讯数据等内容包装了“新冠”看法，但代码在整体上仍与Gafgyt家族相近，可以以为是Gafgyt家族的变种。Corona-A的其它类型样本也同样基于Gafgyt举行修改，在此不做赘述。

2、Corona-B类样本手艺剖析

Corona-B类恶意样本的代码相较Corona-A更为重大，且大部分样本举行了符号剥离，对逆向剖析会爆发较大滋扰。可是黑客百密一疏，在大宗样本中，依然保存个体arm架构的样本包括符号，可供研究剖析。通过进一步的视察，我们发明Corona-B类样本间的差别较大，可以细分为变种Corona-B-1和变种Corona-B-2举行剖析。

? Corona-B-1

Corona-B-1的关联C&C为45[.]84[.]196[.]75，相关样本占捕获总量的64%，是现在发明样本量最大的物联网“冠状病毒”，近一个月时间内迭代了多个版本。在溯源剖析的历程中，我们发明相关组织近期使用Zyxel网络隶属存储（NAS）装备的最新误差CVE-2020-9054开展攻击运动，相关入侵流量如下图所示：

优发国际·随优而动一触即发

图10 误差入侵流量

CVE-2020-9054误差是网络产品供应商Zyxel近期修复的一个严重的远程代码执行误差，误差影响多款NAS装备，攻击者可以通过weblogin.cgi组件触发下令注入并加载恶意代码。

攻击乐成后会执行shell剧本下载差别架构的僵尸样本。

优发国际·随优而动一触即发

图11 执行shell剧本

此类恶意样本也曾以“corona”作为后缀名举行下载撒播。

优发国际·随优而动一触即发

图12 “corona”后缀样本

通过进一步的剖析确认，Corona-B-1是Mirai家族的新变种Mukashi，虽然代码未集成误差使用�？�，但黑客有很大可能在使用CVE-2020-9054误差举行攻击并撒播恶意样本，需要引起各方重视。

Corona-B-1与其它Mirai家族差别的是，其在初始化�？橹�，并未接纳通例的xor加解密，而是使用了自界说的解密模式。其差别版本的解密算法相同，但预置加密字符串差别，初始加密字符串示例如下图所示。

(样本ad61c361f76026e0b0c1ff1bc62b52e7) :

优发国际·随优而动一触即发

图13 初始加密字符串

解密后的下令和字符串会存储到Table中供后续使用，对应信息如下表所示：

表2 解密后的下令和字符串

优发国际·随优而动一触即发

Corona-B-1的扫描�？閟canner_init则同Mirai家族的大大都变种一样，接纳Telnet爆破，并使用差别的默认凭证组合举行登录。

优发国际·随优而动一触即发

图14 扫描流量

一旦Telnet爆破乐成则会以“<host ip addr>:23 <username>:<password>”的名堂将信息提交给C&C。

同时，Corona-B-1会试图发送下令执行一些操作，如“system”、“shell”等默认下令， Corona-B-1在此处新增了"/bin/busybox CORONA"下令，可以进一步执行busybox中的恶意代码部件。

优发国际·随优而动一触即发

图15 “CORONA”下令

值得注重的是，Corona-B-1在最新的代码中删除了对该下令的后续处置惩罚，前期版本通过recv()函数来吸收和判断回显信息（如若CORONA下令不保存，busybox将返回“CORONA: applet not found”）。

优发国际·随优而动一触即发

图16 新旧版本下令处置惩罚比照

在攻击模式方面，Attack_parsing()函数认真处置惩罚与C&C服务器的下令交互，详细的控制指令数组由初始解密获得。

优发国际·随优而动一触即发

图17 控制指令选择

下表为Corona-B-1支持的C&C控制指令。

表3 C&C控制指令

优发国际·随优而动一触即发

其中，Corona-B-1设置了部分绕过DDOS防御的攻击模式，例如UDP bypass,TCP bypass，这些手艺最早来自于Mirai的Dvrhelper变种，也批注Corona-B-1可能继续借鉴了Dvrhelper变种的部分代码。

?Corona-B-2

Corona-B-2的关联C&C为64[.]227[.]17[.]38，攻击者将多种架构的恶意样本命名为“covid”。值得注重的是，近期其恶意代码功效的更新迭代很是频仍。

优发国际·随优而动一触即发

图18 服务器恶意代码更新情形

Corona-B-2样本包括Telnet爆破、反GDB调试、禁用看门狗(watchdog)等�？楣π�，相较于Corona-B-1，Corona-B-2更靠近于原生的Mirai家族。通过进一步比对，其复用了Mirai的大部分代码，但初始化�？楹凸セ髂？橛兴�。

初始化�？椋╰able_init）的table_key与Mirai的默认设置差别（Corona-B-2的table_key为0xDEDEFBAF），相关加密数据可以通过Mirai源码中的tools/enc.c�？榫傩薪饷�。

攻击�？椋╝ttack_init）共组合了13种攻击方法，通过Bindiff举行新旧版内情似性比对后，我们发明黑客组织在一连增添和更新样本的攻击�？�。

包括：

attack_method_nudp

attack_method_udphex

attack_method_udpdns等。

也批注该组织近期的攻击欲望较强。

优发国际·随优而动一触即发

图19 新旧版本代码相似性较量

综合以上对物联网“疫情样本”的剖析，多种恶意代码最终都定位到了Gafgyt和Mirai家族的变种，说明这两类普遍撒播的家族仍是大宗黑客开发新型物联网僵尸的首选。同时从命名习惯、攻击目的、服务器归属地等因素综合判断，这批攻击者或许率会是境外的黑客组织。

相关样本的家族归类整理如下图所示：

优发国际·随优而动一触即发

图20 样同族族归类

受攻击IP漫衍

凭证我们的监测数据，现在境内受到物联网“冠状病毒”攻击的装备IP凌驾22万，主要位于中国境内（96.8%）。其中海内主要漫衍于广东�。�15.4%）、浙江�。�14.2%）、北京市（13.7%）、江苏�。�10.0%）等。境内受攻击IP漫衍图如下所示：

优发国际·随优而动一触即发

图21 受攻击IP位置漫衍图

总结

通过以上剖析可以看出，物联网“冠状病毒”的扩散和全球疫情生长有着一定的相关性。手艺上，其大部分照旧接纳了经典的物联网病毒Gafgyt和Mirai家族的攻击�？�，可是其撒播的默认手段依然是Telnet爆破，部分新的样本最先团结一些新发明的误差举行扩散撒播。别的，为了更有用的独吞装备资源，物联网“冠状病毒”还增强了对其它主流僵尸竞争敌手的防控和扑杀，可以杀掉50多种类型的物联网僵尸历程。一些样本还接纳了自界说的加解密�？�，并一直在攻击�？橹腥诤闲碌墓セ骼嘈�。

该批物联网“冠状病毒”攻击手法和特点来看并没有太多新颖的工具，可是通过使用现实天下的真实事务来扩散恶意攻击这一思绪必将会恒久保存。对新误差的武器化依然是物联网黑客们的重点关注偏向。黑客从服务器、PC、智能手机，扩展向摄像头、路由器、NAS、家居安防系统、智能电视、智能衣着装备，甚至是婴儿监视器，任何互联网毗连的装备都不会放过，这也是恒久以来物联网恶意代码坚持多平台兼容的缘故原由。物联网的威胁关于通俗治理员来说是很难察觉的，就像处于潜在期的受熏染者一样，无法实时防御和扫除。最后，在疫情之下，我们更应该小心别有专心的物联网“冠状病毒”大幅扩散，争取早日战胜疫情，战胜病毒。因此我们建议用户：

( 1 ) 实时更新升级物联网装备固件；

( 2 ) 尽快替换装备厂商初始密码，注重阻止空口令或弱口令；

( 3 ) 如无须要，尽可能不要将产品直接袒露在互联网上，如必需联网，可将装备毗连到清静路由器或防火墙，举行更多的防护；

( 4 ) 增强网络界线入侵提防和治理，关闭非须要的网络服务和端口，如SSH（22）、Telnet(23)、HTTP/HTTPS （80、443）等。

IOC样例

优发国际·随优而动一触即发

本报告由CNCERT物联网清静研究团队与优发国际网站官网ADLab团结宣布

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

网络 “冠状病毒” |优发国际网站官网ADLab团结CNCERT物联网清静研究团队宣布最新研究报告

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

7*24小时服务热线