Bitdefender 平安研究人员发现了一款新出现的IoT僵尸网络——Dark Nexus。Dark Nexus行使被黑的智能装备来提议DDoS攻击,通过平台来提供DDoS 租赁服务

研究人员发现Dark Nexus 通过凭证填充对路由器(Dlink、ASUS等知名品牌)、视频录像机、温感摄像机等差别种类的装备提议攻击,使其加入到僵尸网络中来。住手现在,Dark Nexus 入侵了至少1372个主机充当逆向署理,涉及中国、韩国、 泰国、巴西和俄罗斯。

电银付安装教程(dianyinzhifu.com):Dark Nexus僵尸网络分析 web安全 第1张

电银付安装教程(dianyinzhifu.com):Dark Nexus僵尸网络分析 web安全 第2张

图1 dark_nexus僵尸网络全球受害者漫衍情形

架构

恶意软件二进制文件使用了一款开源的工具链Aboriginal Linux举行跨平台编译,可以使二进制文件适用于差别的IoT平台。这些二进制文件的大部门都有一个基于UPX的打包器,而且去表了符号和调试信息。然则研究人员发现arm7 二进制中含有一些调试信息。研究人员行使这些调试信息发现了该恶意软件的架构。其中包罗以下源文件,划分对应僵尸主机的模块和特征:

· lockdown.c

· main.c

· networking.c

· resolve.c

· socks5.c

· mass_exploiter.c

· reverseproxy.c

· spreader.c

· syn_bruter.c

可执行文件使用了UPX的定制版本举行打包,以防止研究人员举行逆向剖析。

通讯协议

通讯数据包的第一个字节示意下令的类型:

· 0x9a,退出

· 0x69 (‘i’) ,将目的加入到暴力破解目的列表中

· 0xfe,ping C2主机 (发送一个字节0x15)

· 0x4b (‘K’) - kill_attacks

· 0x43 (‘C’) - cmd_not_attack; 第二个字节和示意的寄义如下:

 · 1: 在新历程中执行下令

 · 3: kill运行的fork

 · 7: 重启

 · 16: 按端口kill历程

 · 17:kill逆向署理

 · 18: 启动逆向署理

Killer模块

与其他僵尸网络相比,攻击是尺度的DDoS攻击。其中browser_ http_req 是非常复杂和可设置的,会实验将流量伪装成流量器天生的正常流量。Killer模块在特定历程中运行,由于是最后一个初始化的,因此指导所有其他复制的历程的PID,随后会用作白名单。

流传

僵尸主机使用了2个模块来举行一个流传,一个是同步模块,另一个是异步模块。在开启同步扫描器时,僵尸主机遇天生一个执行init_syn_bruter函数的历程。在异步机制中,C2会公布一个特定的下令,指明IP和端口。这些信息保留在一个行列——dynamic_queue_head中。僵尸主机遇维护一个巨细为250的毗邻列表——bruting_conns。主僵尸主机历程会服用这些毗邻建立的socket。此外,还会周期性地检查所有毗邻的timeout,包罗到C2的毗邻。在与C2通讯时,就发送一个注册新闻

同步sync (init_syn_bruter)和异步async (fd_event) 机制中都实现了Telnet 协议,并实验通过预界说的凭证以暴力破解的方式来举行认证。当同步暴力破解器讲述受害者给讲述服务器时,事实上是发送了一个熏染payload,异步机制只通过C2 socket发送一个含有IP、端口和发现的凭证的新闻。在一些版本中,异步讲述器也会讲述给讲述服务器(维持蠕虫行为)。通讯方式也是差别的,有些样本中是通过TCP 12000或13000端口,有些是通过UDP的12000或13000端口,有的是通过C2 socket(TCP 30047端口)。

攻击者IP:

· 66.175.210.74

,

环球UG_ALLbet6.com

欢迎进入环球UG官网(UG环球):www.ugbet.us,环球UG官方网站:www.caibao.it开放环球UG网址访问、环球UG会员注册、环球UG代理申请、环球UG电脑客户端、环球UG手机版下载等业务。

,

· 51.15.120.245

· 45.33.73.134

· 190.115.18.144

· 190.115.18.28

· 51.159.52.250

· 190.115.18.86

· 192.168.100.210

· 192.168.100.27

· 192.168.110.135

· 45.33.84.114

· 45.56.102.170

僵尸主机用于暴力破解的凭证列表如下所示:

电银付安装教程(dianyinzhifu.com):Dark Nexus僵尸网络分析 web安全 第3张

驻留

在不停进化生长历程中,dark_nexus使用了差别的驻留方式。在5.1之前版本中,该功效是在僵尸主机启动历程中执行的:

电银付安装教程(dianyinzhifu.com):Dark Nexus僵尸网络分析 web安全 第4张

图2 反编译的驻留函数,卖力住手cron服务

为确保驻留,这些下令会通过住手cron服务和移除用来重启装备的可执行文件的权限来防止装备重启。新版本中使用了另一种驻留函数,在/etc/init.d/rcS 文件中放置了一些下令。首先,从/proc/self/exe中读取僵尸主机代码,并将echo下令格式化并输出到/tmp/dvr_enc 文件,然后执行:

echo -ne “\x7f\x45\x4c...” > /tmp/dvr_enc
chmod 777 /tmp/dvr_enc
/tmp/dvr_enc reboot

驻留函数中执行的另一个shell下令是iptables -F,卖力消灭iptables规则,确保与C2之间的通讯或发送的DDoS payload不会被过滤。

署理模块

在初始化后,僵尸主机遇从下令行中提取参数IP和端口,是熏染当前装备的公共IP端口,其父装备以HTTP服务器的形式运行。

电银付安装教程(dianyinzhifu.com):Dark Nexus僵尸网络分析 web安全 第5张

图3 装备父装备信息提取的代码

然后僵尸主机遇随机天生一个端口,并在新历程中启动其HTTP 服务器(init_reverse_proxy)。而且从host服务器上下载僵尸二进制文件——hoho.[arch],保留到装备上。该操作是循环发生的,以确保内陆保留的二进制文件与HTTP服务器上的是同步更新的。代码会使用中央服务器作为其后台。当与后台的毗邻发生问题时,后台就会更新到指向熏染链中父节点的IP和端口。

在蠕虫组件中,署理也用于熏染历程:不管用了什么方式,受害者会被重定向到从攻击者处下载一个合适的二进制文件,而非中央化的服务器。

代码模块含有2个字符串,可以用来确保僵尸主机的版本:

· 服务器对GET请求/的响应内容就是这个形式:hoho_fastflux/v4.0

· 发送给后台的请求中使用的署理:User-Agent: checker/v4.0/p

基础设施

僵尸网络的基础设施由以下部门组成,划分是:

· 多个C2服务器。卖力公布下令给僵尸主机,使用的域名有:

         · switchnets[.]net:30047

         · thiccnigga[.]me:30047

· 讲述服务器。发现有破绽的服务后,僵尸主机就会将IP和端口讲述给讲述服务器。在一些版本中,讲述服务器是一个域名或硬编码的IP地址,端口是12000.域名与C2使用的相同,IP对应每次剖析的地址。

· 托管服务器。样本托管在switchnets.net:80上,可以用HTTP提取。在使用二进制下载器的熏染向量中,IP是硬编码的。在dark_nexus版本中有一个反向署理特征,每个受害者都作为托管服务器的署理,在随机端口上提供一样平常。当端口讲述给C2时,僵尸主机就会注册。此外,在熏染历程中,同步扫描器会给出其IP和反向署理端口号给受害者。受害者就指导了父服务器的IP和端口,并使用其作为源来周期性地更新其样本集。

电银付安装教程(dianyinzhifu.com):Dark Nexus僵尸网络分析 web安全 第6张

电银付安装教程(dianyinzhifu.com):Dark Nexus僵尸网络分析 web安全 第7张电银付安装教程(dianyinzhifu.com):Dark Nexus僵尸网络分析 web安全 第8张

图4 dark nexus熏染和服务交互图

本文翻译自:https://www.bitdefender.com/files/News/CaseStudies/study/319/Bitdefender-PR-Whitepaper-DarkNexus-creat4349-en-EN-interactive.pdf如若转载,请注明原文地址: Allbet声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:电银付安装教程(dianyinzhifu.com):Dark Nexus僵尸网络分析
发布评论

分享到:

iPhone12登场倒数计时!传有7色美炸售价免2万
3 条回复
  1. 皇冠新现金网平台
    皇冠新现金网平台
    (2021-01-01 00:08:54) 1#

      11月25日,重庆日报记者从市财政局领会到,市财政局、市农业农村委员会、市林业局等五部门日前团结出台《关于加速农业保险高质量生长的指导意见》(简称《意见》)。《意见》要求,进一步完善农业保险政策,优化农业保险运行机制,推进农业保险高质量生长。很棒,高水准

  2. 用usdt充值(www.usdt8.vip)
    用usdt充值(www.usdt8.vip)
    (2021-09-21 00:01:34) 2#


    体育综艺“追星”照样“追球”
    快来呀快来呀

    1. 皇冠足球信用平台出租(www.huangguan.us)
      皇冠足球信用平台出租(www.huangguan.us)
      (2021-10-08 05:26:53)     

      (图片说明:中国钓鱼岛。发) 千万不要断更啊

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。