汤辉 江西省计算技术研究所 南昌市 330003

贺余盛 徐宁 国家计算机网络应急技术处理协调中心江西分中心 南昌市 330036

0 引言

物联网的飞速发展和应用使越来越多的物联网设备接入互联网。由于缺乏网络安全的重视，IoT设备分散、权责不清，部分设备部署之后基本处于无人监管状态，既没有软件或固件升级，也不会打补丁，导致IoT设备存在大量安全隐患，很容易被攻击者发现漏洞并利用。

黑客在非法入侵大量物联网设备后，黑客通过网络控制节点（C2）控制，利用物联网设备形成“僵尸大军”作为攻击跳板，以此聚集大量网络资源发起有针对性的大规模的DDoS攻击，对个人或者集体导致巨大的损失[1]。

为了掌握我省物联网DDoS僵尸网络的攻击态势，遏制其在省内的蔓延，国家计算机网络应急技术处理协调中心江西分中心深度参与我省物联网DDoS僵尸网络的监测处置工作。本文结合前期工作积累对物联网DDoS僵尸网络进行监测分析研究。

1 僵尸网络攻击模式研究

Mirai僵尸网络是物联网DDoS僵尸网络中的典型代表。本节借助Mirai僵尸网络简单阐述物联网DDoS攻击的主要模式。Mirai僵尸网络主要利用路由器、摄像头等设备的漏洞，将僵尸程序传播到互联网，感染并控制大批在线主机，从而形成具有规模的僵尸网络，然后对它们进行集中控制，继而发动分布式拒绝服务（DDoS）攻击。

Mirai僵尸网络主要由ScanListen模块、Load模块、C&C模块、Bot模块构成[2]。Bot模块实现网络设备telnet弱口令扫描，同时接收C&C模块控制指令对目标发动 DDoS攻击；ScanListen模块主要接收Bot模块弱口令扫描得到的设备信息，包括：IP、端口、用户名、密码，并将其发送给 Load处理。Load模块接收ScanListen发送的目标信息，并针对每个设备植入木马；C&C模块主要用于管理Bot，发起DDoS攻击。

图1 Mirai感染逻辑示意图

ScanListen在接受到Bot 的扫描结果信息后，未对信息发送方进行身份验证，直接把结果传递给 Load，然后 Load直接对结果中的目标植入木马。

2 僵尸网络监测分析

2.1 技术路线

在《多元网络数据采集技术在物联网DDoS僵尸网络监测中的研究与应用》研究的基础上，构建监测平台，实现对采集的多种恶意代码的存储、检测、分析、特征情报提取，对恶意代码进行黑白判断、IOT类家族识别、目的类型识别[3]。

通过对网络流量、业务系统相关安全事件等实现文件汇聚、检测、分析、自动化特征提取，采用分布式消息队列接收文件和PCAP数据包进行检测、格式解析、静态分析提取相关结构、IOT类字符串识别，进而动态分析提取相关系统行为，特别是IOT类型系统调用，DLL劫持替换等行为。另外，基于特征提取和相关的情报提取用于检测识别。图2为可疑文件检测的主要技术流程。

图2 文件检测技术流程

2.2 实例分析

本节以MD5为7e1c3834c38984c34b6fd4c741ae3a21的样本进行实例分析。

当网络摄像机被攻击者入侵后，该设备会尝试连接一个下载站点，站点返回命令要求网络摄像机执行恶意shell脚本。其中某一脚本“wificam.sh”将会下载并执行一些恶意样本。恶意样本在被执行后，会删除自身，仅在内存中运行。恶意样本还会采用一些方法来确保该网络摄像机不被其他攻击者入侵。通过分析，在接收到C&C的命令后，网络摄像机会通过利用CVE-2017-8225漏洞，开始自动地扫描并入侵其他的网络摄像机[4]。攻击者利用某个漏洞可以获得用户的密码文件，这意味无论用户设置的密码的强弱，攻击者都可以控制该网络摄像机。被C&C服务器控制的网络摄像机，还可接受包含目标IP、端口号的攻击指令，之后通过UDP协议对其他的主机进行DDoS攻击[4]。

在摄像头产品中，使用有效凭据，攻击者可以检索配置，浏览.cgi文件，攻击者也需要进行身份验证。攻击者可以通过在URL中提供一个空的loginuse和一个空的登录名来绕过身份验证，如下是本地的模拟服务演示截图：

使用命令：

wget-qO-'http://192.168.1.107/system.ini?loginuse&loginpas'|xxd|less

图3 本地的模拟服务演示截图

在渗透机中运行EXP漏洞利用程序：使用命令：gcc -Wall -o expls expldbg.c && ./expls 172.31.50.250

图4 运行漏洞利用程序

通过得到的账号信息，通过远程登陆，然后执行病毒样本下载命令，实现木马植入。

2.3 监测结果分析

通过对现有的监测样本分析，常见物联网DDoS僵尸网络的扫描模块主要扫描爆破22、23端口，将爆破成功的目标IP进行telnet或者ssh登陆，并执行样本植入指令。然而，不同物联网DDoS僵尸网络家族的扫描攻击方式及加密方式也存在差异，比如：Persirai家族的扫描模块是直接使用CVE-2017-8225漏洞的payload进行攻击获取目标IP的telnet账号信息[5]。此外，Persirai将C2明文编码在代码中，Mirai使用异或算法加密C2；Persirai采用Mirai从未采用的81端口进行传播；二者通信协议完全不同；Persirai仅存在两种DDoS攻击向量，而Mirai包含10种。

3 僵尸网络攻击流量统计

对2020年1到6月份的攻击总流量进行监测统计，同比2019上半年，单月最高攻击流量下降了27.54%，环比2019下半年，单月最高攻击流量下降了38.00%。

2020年上半年的两个季度中，通过对DDoS攻击流量的持续时间进行统计分析，得到如图5所示分布图。

图5 DDoS攻击流量持续时间分布

可以看出，超过70%攻击事件的攻击持续时间在30分钟以内，DDoS攻击流量持续时间长度与持续时间占比成反比。

2020年上半年的两个季度中，通过在攻击事件中对捕获的攻击流量进行统计分析，得到如下图6所示的攻击流量峰值分布情况。

图6 攻击峰值段在2020年第一第二季度的分布

DDoS攻击事件的攻击峰值段，无论是第一还是第二季度，均以20-50G峰值段占取了最大比例，分别为25.79%和24.59%。但在第二季度中，攻击峰值段在50-100G的百分比较第一季度上升了5.29%，攻击事件的攻击峰值有隐隐上升的趋势。

4 结语

通过对物联网DDoS僵尸网络里攻击模式的研究，采用了多元数据协同，多种采集渠道、深度分析识别样本DDoS属性，并进行相关僵尸网络的卧底监控，针对全球范围的物联网DDoS僵尸网络家族的DDoS攻击活动进行了持续的监测，形成了相关的系统，并产出了大量的数据。

从物联网DDoS僵尸网络家族的DDoS攻击的实际监测数据来看， DDoS攻击无疑是一个巨大的安全隐患，对互联网的稳定运行产生严重阻碍。尽管经过持续性的僵尸网络的专项打击工作，2020年的攻击总量有所减少，但伴随着DDoS工具的廉价性、易获取性，以及各僵尸网络家族的快速增长，利用物联网设备组建僵尸网络发起攻击的现象日益严峻，与此同时，移动端的僵尸网络亦处于萌芽阶段，网络安全之路可谓任重道远。