亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

作者:ADLab

1. 鯨鯊蠕蟲介紹

近期，啟明星辰ADLab與電信云堤發(fā)現(xiàn)了一款新型物聯(lián)網(wǎng)蠕蟲：鯨鯊蠕蟲，鯨鯊蠕蟲是首款利用物聯(lián)網(wǎng)設(shè)備來構(gòu)建大型代理網(wǎng)絡(luò)的蠕蟲病毒，主要感染對象包括路由器、網(wǎng)絡(luò)攝像頭、交換機(jī)等物聯(lián)網(wǎng)設(shè)備，我們當(dāng)前所發(fā)現(xiàn)的該蠕蟲受控于一臺位于俄羅斯的主機(jī)服務(wù)器。

此蠕蟲并未實(shí)現(xiàn)任何可以用于網(wǎng)絡(luò)攻擊的模塊，從我們目前的分析結(jié)果來看，該蠕蟲僅僅實(shí)現(xiàn)了一個 TCP 流量轉(zhuǎn)發(fā)的功能，黑客可以利用該功能向任何指定 IP 地址發(fā)送 TCP 數(shù)據(jù)包。因此我們推測，該黑客試圖利用蠕蟲來建立一個大型的網(wǎng)絡(luò)代理平臺，并利用該平臺管理的網(wǎng)絡(luò)設(shè)備來轉(zhuǎn)發(fā)其流量，以實(shí)現(xiàn)如下目的。

• 利用該代理平臺來提供代理服務(wù)謀取利益。
• 利用僵尸流量轉(zhuǎn)發(fā)功能來對目標(biāo)實(shí)施如 HTTP 攻擊。
• 利用這些網(wǎng)絡(luò)設(shè)備來構(gòu)建一個多級中轉(zhuǎn)站，為黑客提供攻擊掩護(hù)、身份隱藏等基礎(chǔ)設(shè)施。

該蠕蟲具備以下特點(diǎn)：

1. 該蠕蟲擁有強(qiáng)大的可升級的弱口令密碼表，蠕蟲感染時利用的弱口令表由服務(wù)器在后臺進(jìn)行升級。
2. 蠕蟲感染行為較靈活，蠕蟲感染的目標(biāo)可以由主控服務(wù)器指定，也可以由蠕蟲隨機(jī)生成感染的目標(biāo) IP。同時蠕蟲程序可以通過自帶的下載器下載或者利用 wget 或 tftp 程序從主控服務(wù)器下載。
3. 蠕蟲適配物聯(lián)網(wǎng)設(shè)備不同的架構(gòu)及軟件環(huán)境，該蠕蟲適配 mips、x86、arm、power pc、Hitachi 的不同的 CPU 架構(gòu)，兼容大端和小端的字節(jié)順序。在軟件環(huán)境方面，該蠕蟲適配帶 busybox 程序的環(huán)境和不帶 busybox 程序環(huán)境、適配帶 echo 程序的環(huán)境和帶 printf 程序的環(huán)境、適配帶 wget/tftp/echo/printf 的二進(jìn)制回顯重定向的下載模式。
4. 收集大量設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)信息。主控服務(wù)器不僅收集受感染設(shè)備的用戶名、密碼、系統(tǒng)環(huán)境信息，還收集無法連接或連接異常的設(shè)備的IP及出錯原因。我們推測黑客企圖建立強(qiáng)大的設(shè)備數(shù)據(jù)庫信息，為后續(xù)的攻擊建立基礎(chǔ)。

可以看出，該蠕蟲與其他類型的物聯(lián)網(wǎng)僵尸（如 Mirai、Hajime、Qbot、KTN-RM 等）相比具有控制更加靈活、感染成功率更高、隱蔽性更好等優(yōu)點(diǎn)。因而我們將這款新型的蠕蟲命名為“鯨鯊蠕蟲”。

2. 鯨鯊蠕蟲活躍量分析

在發(fā)現(xiàn)鯨鯊蠕蟲后，我們監(jiān)測了鯨鯊蠕蟲最近一個月（2017年6月）的活躍IP數(shù)據(jù)并以周為單位進(jìn)行了統(tǒng)計分析，如下圖所示。

活躍數(shù)據(jù)由電信云堤提供根據(jù)活躍量柱狀圖顯示，在6月的第二周也就是6月8日至14日活躍量最高達(dá)到了 10975 個，而這個活躍量僅僅是當(dāng)前所捕獲的單個 C&C 連接數(shù)量，也就是說僅在中國電信網(wǎng)絡(luò)中一個 C&C 所控制的物聯(lián)網(wǎng)設(shè)備就有上萬臺。而該蠕蟲絕不僅僅只有這么一個 C&C，按照黑客預(yù)配 C&C 的慣例，通常都會有多個 C&C，有的黑客組織還會預(yù)備幾十個，甚至成百上千個 C&C。因此，可以說目前所發(fā)現(xiàn)的感染設(shè)備僅僅只是該蠕蟲網(wǎng)絡(luò)的冰山一角。

此外，我們還對全國的感染設(shè)備數(shù)量做了進(jìn)一步的監(jiān)測統(tǒng)計，繪制了如下鯨鯊蠕蟲的全國感染分布圖。

監(jiān)測數(shù)據(jù)由電信云堤提供從分布圖中可以看出，每個省份均有不同程度的感染，尤其是廣東省和江蘇省感染量最大，兩省感染數(shù)量總和接近全國感染量的50%。而這兩個省份同時也是攝像頭生成廠商最為密集、攝像頭安裝量最大的兩個省份。

3. 鯨鯊蠕蟲行為分析

3.1 行為分析

1. 受控的 IoT 設(shè)備上的蠕蟲程序主動連接主控服務(wù)器的 6765 端口，獲得相應(yīng)的弱口令表信息。
2. 受控的 IoT 設(shè)備上的蠕蟲程序啟動多個進(jìn)程連接新的 IoT 設(shè)備的 23 和 2323 端口的 telnet 服務(wù)，利用弱口令攻擊目標(biāo)設(shè)備的 telnet 服務(wù)，嘗試感染并控制目標(biāo)設(shè)備。下圖為受感染設(shè)備的 TCP 連接列表的信息，我們從第三列的 rem_address 可以看到設(shè)備嘗試連接了大量 IP 的 0x0017（23，telnet）端口。

1. 受控的IoT設(shè)備上的蠕蟲程序會在新的 IoT 設(shè)備的根目錄、/dev、/etc、/var、/var/tmp 上尋找一個可讀寫的目錄，下載一個 81c4603681c46036.*（根據(jù)目標(biāo)CPU架構(gòu)的不同,有 armv4l、mips、i586、sh4 等不同后綴名。）的蠕蟲文件。
2. 被感染的 IoT 設(shè)備上的蠕蟲程序與主控服務(wù)器建立代理網(wǎng)絡(luò),并將其用于中繼惡意流量以掩飾真實(shí)來源。

3.2 蠕蟲的核心流程

1. 綁定 10000 和 20000 端口，保證只有一個蠕蟲的主進(jìn)程在運(yùn)行。
2. 查詢主機(jī)的 telnet 服務(wù)對應(yīng)的 pid，kill 該 pid 對應(yīng)服務(wù)進(jìn)程。
3. 綁定 23 端口，防止被別的進(jìn)程占用（禁止 telnet 服務(wù)再次被打開，或者被別的蠕蟲利用弱口令進(jìn)入）。
4. 連接主控服務(wù)器的 6745 端口進(jìn)行登錄驗(yàn)證。
5. 如果驗(yàn)證成功，則接收主控服務(wù)器返回的數(shù)據(jù)，獲得新的主控服務(wù)器的ip和端口號（6755 端口，6765 端口）。
6. 從主控服務(wù)器獲取 16 字節(jié)的數(shù)據(jù)，作為后續(xù)隨機(jī)數(shù)的初始向量。
7. 啟動網(wǎng)絡(luò)代理子進(jìn)程。
8. 啟動蠕蟲感染子進(jìn)程。

3.3 蠕蟲感染的主要流程

1. 蠕蟲程序連接主控服務(wù)器的 6765 端口，進(jìn)行登錄驗(yàn)證。
2. 從主控服務(wù)器獲取弱口令列表（共300組）。
3. 蠕蟲程序產(chǎn)生 100 個 IP，給每個隨機(jī) IP 發(fā) tcp syn 包，探測這些隨機(jī) IP 的 23/2323 端口是否打開。
4. 檢測目標(biāo)設(shè)備的 CPU 架構(gòu)。
5. 在目標(biāo)設(shè)備上尋找可以讀寫的目錄。
6. 調(diào)用 wget/tftp/echo/printf 程序下載蠕蟲。
7. 向主控服務(wù)器上報目標(biāo)IP攻擊的結(jié)果，包括目標(biāo) IP、端口號、成功/失敗原因、弱口令密碼表索引值、目標(biāo)IP的設(shè)備架構(gòu)和軟件架構(gòu)。

3.3.1 登錄驗(yàn)證

蠕蟲向主控服務(wù)器的 6765 端口發(fā)送特定的 TCP 數(shù)據(jù)包，主控服務(wù)器根據(jù)驗(yàn)證結(jié)果，給蠕蟲下發(fā)驗(yàn)證結(jié)果。

3.3.2 獲取弱口令表

如果登錄驗(yàn)證通過，蠕蟲程序會從主控服務(wù)器獲取弱口令數(shù)據(jù)。

3.3.3 搜索感染目標(biāo)

蠕蟲掃描隨機(jī)產(chǎn)生的 IPv4 地址并且嘗試連接它們的 23/2323 端口，如果連接成功，再嘗試使用主控端提供的 300 組密碼進(jìn)行隨機(jī)嘗試。

3.3.4 判斷目標(biāo)設(shè)備的CPU架構(gòu)

蠕蟲程序通過 dump 目標(biāo)設(shè)備 busybox 程序的22字節(jié)的 elf 文件頭，來判斷目標(biāo)設(shè)備的 CPU 架構(gòu)。根據(jù)不同的 CPU 架構(gòu)，下載不同的蠕蟲程序。

3.3.5 軟件環(huán)境適配

蠕蟲程序在軟件環(huán)境適配方面做了很大的工作，可以適配多種目標(biāo)設(shè)備的軟件環(huán)境。

3.3.6 監(jiān)測可讀寫的目錄

測試根目錄、/dev、/etc、/var、/var/tmp 目錄的讀寫能力,尋找可以讀寫的目錄。

3.3.7 下載蠕蟲

在目標(biāo)設(shè)備上通過 wget 或 tftp 下載對應(yīng)設(shè)備 CPU 架構(gòu)的蠕蟲，并修改程序的可執(zhí)行權(quán)限，然后運(yùn)行蠕蟲。

如果目標(biāo)設(shè)備不存在 wget 或 tftp 程序，則通過 echo 或 printf 方式向目標(biāo)設(shè)備推送下載器，然后在目標(biāo)設(shè)備執(zhí)行下載器程序，下載并運(yùn)行蠕蟲程序。

蠕蟲程序內(nèi)嵌下載器包括了 arm、mips、power pc 及 sh架構(gòu)。

下載器可以通過 HTTP GET 請求的方式從黑客服務(wù)器上下載“鯨鯊蠕蟲”執(zhí)行。

3.3.8 攻擊結(jié)果信息上報

蠕蟲的感染子進(jìn)程會將目標(biāo) IP 的攻擊結(jié)果上報給主控服務(wù)器。

3.4 網(wǎng)絡(luò)代理實(shí)現(xiàn)流程

1. 連接主控服務(wù)器的 6755 端口，與主控服務(wù)器進(jìn)行登錄驗(yàn)證，利用報文校驗(yàn)值進(jìn)行認(rèn)證。
2. 從主控服務(wù)器中讀取數(shù)據(jù)，然后從數(shù)據(jù)中取出目標(biāo)設(shè)備的 IP 和端口號，以及要下發(fā)的數(shù)據(jù)。
3. 連接新的目標(biāo)設(shè)備的 IP 和端口，將要轉(zhuǎn)發(fā)的數(shù)據(jù)發(fā)出去。
4. 接收目標(biāo)設(shè)備返回的數(shù)據(jù)。
5. 將返回的數(shù)據(jù)發(fā)給主控服務(wù)器。

3.4.1 登錄驗(yàn)證

蠕蟲向主控服務(wù)器的 6755 端口發(fā)送特定的 TCP 數(shù)據(jù)包，主控服務(wù)器根據(jù)驗(yàn)證結(jié)果，給蠕蟲下發(fā)驗(yàn)證結(jié)果，驗(yàn)證通過后繼續(xù)后續(xù)流程。

3.4.2 接收要轉(zhuǎn)發(fā)的數(shù)據(jù)

從主控服務(wù)器接收要轉(zhuǎn)發(fā)的數(shù)據(jù)及目標(biāo) IP 和端口號。

3.4.3 連接目標(biāo)地址

一旦接收到主控服務(wù)器發(fā)來的攻擊目標(biāo)的 IP 和端口號，蠕蟲程序會主動連接目標(biāo)。

3.4.4 發(fā)送轉(zhuǎn)發(fā)的數(shù)據(jù)

蠕蟲可以將從主控服務(wù)器接收到的數(shù)據(jù)，發(fā)送到目標(biāo)IP。

3.4.5 轉(zhuǎn)發(fā)目標(biāo)IP接收到的數(shù)據(jù)給主控服務(wù)器

蠕蟲將目標(biāo)返回的流量數(shù)據(jù)轉(zhuǎn)發(fā)給主控服務(wù)器。

4. 總結(jié)

根據(jù)以上的分析可以看出，鯨鯊蠕蟲既沒有提供攻擊模塊，也沒有提供擴(kuò)展組件的下載執(zhí)行，因此對于鯨鯊蠕蟲本身而言，黑客當(dāng)前的目的并不在于攻擊而是在于利用蠕蟲傳播的手段來搭建一個代理網(wǎng)絡(luò)平臺。此外，鯨鯊蠕蟲還會將掃描感染階段的所有設(shè)備信息都上傳到主控端，無論是已成功感染還是未成功感染的設(shè)備，這樣黑客可以依據(jù)這些信息來制定更有針對性的弱密碼表進(jìn)行下發(fā)，以感染更多的設(shè)備。該蠕蟲構(gòu)建的網(wǎng)絡(luò)最大的威脅可能在于，被利用來作為惡意攻擊的地下網(wǎng)絡(luò)，使得原攻擊者難以被追蹤。