陈 松 徐 宁 国家计算机网络应急技术处理协调中心江西分中心 南昌市 330038

0 前言

当前，国际社会高度关注网络空间安全问题，网络空间不仅已成为国民经济命脉和军队神经系统，而且已经成为陆地、海洋、天空、太空之外的第五维国家安全领域。在我国，随着物联网演进发展，网络结构愈加复杂，网络的不可管、不可控性使得融合后的互联网、工控网络存在大量的安全隐患[1]。其复杂程度和危害程度逐步升级，较传统网络，具有攻击源异构化、攻击行为演化等特点。由于物联网技术还处于发展初期，物联网设备安全基础几乎为零，在如今物联网设备爆发式增长的趋势下，物联网设备所带来的威胁日趋明显，其中僵尸网络和DDoS攻击已经成为物联网设备的主要威胁[2]。对物联网僵尸网络的研究，首先要发现新的物联网僵尸网络。本文重点研究物联网DDoS僵尸网络监测数据的采集技术，为后期物联网DDoS僵尸网络的客观测量及溯源追踪提供数据支持。

1 技术原理研究

物联网DDoS僵尸网络的数据采集监控是以发现物联网僵尸网络为目的，主要采用的技术手段以分布式蜜罐节点接收的攻击数据包和节点流量为主。各种高仿真攻击目标蜜罐端点监控：通过高仿真攻击者的各种攻击目标并投放对攻击者具有吸引的目标数据，诱使攻击者对蜜罐进行攻击，而蜜罐则实时监控攻击者对蜜罐的所有操作，保存捕获攻击者投放的文件等，并将捕获到的文件实时传送到沙箱进行威胁鉴定识别，同时也将蜜罐捕获到的攻击数据情报化处理回传网络安全威胁数据分析系统[3]。通过在经常被作为攻击目标的对象部署端点探头监控设备，进行24小时实时监控受害者系统的通信数据流量，识别和还原真实通讯内容和文件格式，作为基础的原数据信息，用于后期推向沙箱进行动态行为分析。

此外，通过高仿真物联网僵尸网络被控的“僵尸肉鸡”，实现与攻击者控制服务器进行24小时实时通讯交互监控，获取攻击者控制服务器的远程控制指令数据情报并自动化解析出攻击目标威胁情报数据，将得到攻击目标的威胁情报向威胁态势感知系统发送，作为威胁态势感知系统分析威胁的原数据最重要来源。

图1为物联网DDoS僵尸网络监测原理图。

图1 物联网DDoS僵尸网络监测原理图

2 多元网络数据采集方法路线研究

蜜网以感知攻击为主要目的，获取境内外黑客的攻击方法、攻击采用的网络设施、攻击采用的武器为主要目的。黑客攻击的目的比如APT、窃密、勒索。从采集的原始信息来说主要是PCAP数据包和投放的文件以及系统操作信息，从数据包中可以提取的信息主要包括扫描IP、脚本sh文件、URL、样本实体。从而达到捕获流行活跃攻击样本、放马地址、攻击漏洞、黑客组织网络设施、黑客入侵事件的目的。

前端蜜罐探针与后端高交互蜜罐集群相结合，将针对这些IP地址的探测扫描及攻击流量、攻击URL、攻击样本等分类后发送到后端蜜罐集群，后端蜜罐集群部署有承载各类系统的虚拟机节点，由对应的蜜罐节点与攻击者进行交互，记录攻击方法及捕获攻击样本。

2.1 探测采集威胁数据

通过初步采集的URL、样本、C&C进一步的探测和高交互蜜罐监控可以使初步蜜网数据的信息进一步的扩展，获得更多的攻击数据、攻击样本和攻击意图信息。

主动探测辅助获取最新的恶意URL，则可定期遍历恶意放马服务器文件的变化，端口变更。对恶意URL可以持续周期性探测获取活性和可能的样本。

C&C探测，对放马URL的IP进行C&C探测和协议识别，从下面的例子可发现放马URL和C&C经常在一个IP上，黑客的资源也是有限，放在一个服务器上的概率大。

举例：基于特征b33a589d3627bc6f2e5bd0e6b42f 53b6，探测到URL http://198.98.122.172/cunty.sh，进而截取获得IP 198.98.122.172，针对这个IP进行端口探测和协议识别198.98.122.172:50

图2 批量进行探测的结果格式

2.2 流量采集

采用活性样本高交互蜜罐养殖和模拟监听的方法对黑客C&C服务器进行监控。从木马或僵尸网络的C&C监控中获取升级的脚本、传播的payload、URL。该数据情报具有第一时间性，是一个僵尸网络第一时间发起的，比蜜罐采集到的数据更加提前。

流量采集主要采用卧底养殖方式获取C&C下发指令，通过低交互加入、高交互养殖加入物联网僵尸网络，监听最新的攻击指令和流量数据。

一些攻击指令：

killall cd /tmp;wget http://183.60.202.12:123/4.32;chm od 777 4.32;./4.32;

killall & iptables -D INPUT -s 198.74.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **4.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall & iptables -D INPUT -s 198. **.98.245 -j DROP

killall ;pkill 3897;./3897

killall wget -P/tmp http://2*2.1*6.5*.212:5890/1

killall wget -P/tmp http://2*2.1*6.5*.212:5890/1

可以提取到到放马更新升级的URL如图3所示。

图3 抓取木马升级URL截图

3 物联网僵尸网络“肉鸡”监测情况统计

自2018年1月1日至6月30日，随机对不同家族的11个C2的僵尸肉鸡进行了抽样特征监测，获取了肉鸡IP 33661个。

3.1 物联网僵尸网络“肉鸡”设备类型

通过捕获的“肉鸡”进行设备类型分析，以Windows、Linux和IoT设备作为分类范围，其中IoT设备类型的肉鸡最多，占比61.37%；其次是Linux设备类型的肉鸡，占比20.85%，Windows设备类型肉鸡仅占比17.78%。

IoT设备因其漏洞较多、漏洞修复周期较长，且易于入侵、控制，而成为黑客们喜欢抓取的肉鸡类型。在统计数据中，涉及的IoT设备厂商包括华为、中兴、H3C、大华等，其中442个肉鸡设备属于华为的IoT设备，240个属于中兴的IoT设备，1142个属于H3C的IoT设备。

对于Linux设备类型，攻击者多通过22、23端口进行弱口令爆破以实现对肉鸡的控制。而针对Windows设备类型的肉鸡，黑客多通过利用“永恒之蓝”漏洞结合各家族的病毒、木马，以实现对肉鸡的抓取。

图4 肉鸡设备类型

3.2 物联网僵尸网络“肉鸡”分布地区

对获取到的33661个肉鸡IP进行分析定位发现，其中33555个肉鸡IP位于中国。对国内的肉鸡IP定位进行汇总分析，得出以下部分肉鸡在国内部分省份的分布情况。位于江苏和浙江的肉鸡IP较多，分别为5961个和5899个。从地理分布上看，肉鸡IP多位于沿海城市，我国的沿海城市从北到南依次为山东省、江苏省、浙江省、福建省和广东省，这五个省份的肉鸡数量均位列前十。

图5 国内部分肉鸡分布情况

4 总结

本项目采用了多元数据协同，多种采集渠道、深度分析识别样本DDoS属性，并进行相关僵尸网络的卧底监控，针对全球范围的僵尸网络的DDoS攻击活动进行了持续的监测，并产出了大量的数据，突破性的完成非合作区域的DDoS监控数据的采集，同时，多元网络数据采集为后期的物联网DDoS僵尸网络的威胁智能识别及物联网DDoS僵尸网络的追踪溯源提供数据支持。

从DDoS攻击的发展历程，我们不难看出，在如今这个虚拟网络已经嵌入我们现实生活的社会里，DDoS攻击无疑是一个巨大的安全隐患。伴随着DDoS工具的廉价性、易获取性，以及各僵尸网络家族的快速增长，利用物联网设备组建僵尸网络发起攻击的现象日益严峻，与此同时，移动端的僵尸网络亦处于萌芽阶段，网络安全之路可谓任重道远。