歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

僵尸網絡新動向

來源:本站整理 作者:佚名 時間:2020-01-23 TAG: 我要投稿

最近發現一些惡意軟件活動影響了許多運行Linux的設備,該平臺今年剛剛解決了許多問題。對檢索到的惡意軟件樣本的進一步分析顯示,這些操作與一個名為Momentum的僵尸網絡(根據在其通信通道中找到的圖像命名)有關。此外發現了僵尸網絡目前用于攻擊其他設備和執行DDoS攻擊的工具以及技術細節。
Momentum將Linux平臺按CPU體系結構劃分,如ARM、MIPS、Intel、Motorola 68020等。此惡意軟件的主要目的是打開后門并針對給定目標進行各種DoS攻擊。該僵尸網絡的后門是Mirai、Kaiten和Bashlite變體。此外它還通過各種路由器和web服務上的多個漏洞在目標設備上下載和執行shell腳本進行傳播。
Momentum工作方式分析
感染設備后,Momentum試圖修改“rc”文件來實現持久控制;然后它加入command and control(C&C)服務器并連接到名為“HellRoom”的internet中繼聊天(IRC)通道以注冊自身并接受命令。IRC協議是與C&C服務器通信的主要方法。僵尸網絡可以通過向IRC通道發送消息來控制受感染的機器。


分發服務器(如上所示)托管惡意軟件。另一個服務器是僵尸網絡的C&C服務器。C&C服務器最新上線時間為2019年11月18日。
一旦建立了通信線路,Momentum就可以使用各種命令進行攻擊。Momentum可以部署36種不同的DoS方法,如下所示。



惡意軟件使用已知的反射和放大方法,這些方法有多種目標:MEMCACHE、LDAP、DNS和Valve Source Engine。在這些類型的攻擊中,惡意軟件通常會將源IP地址(受害者)欺騙到可公開訪問的服務器上,從而引發大量響應使受害者不堪重負。
除了DoS攻擊之外,Momentum還可以執行其他操作:在指定IP端口上打開代理、更改客戶端nick、禁用或啟用客戶端的packeting等等。
Momentum拒絕服務攻擊
LDAP DDoS反射
在LDAP DDoS反射中,惡意軟件將目標系統的源IP地址欺騙到可公開訪問的LDAP服務器,從而向目標發送大量響應。
Memcache攻擊
在Memcache攻擊中,遠程攻擊者使用偽造源IP地址向易受攻擊的UDP memcached服務器發送惡意UDP請求。然后memcached服務器向目標發送響應。Momentum使用HTTP GET請求下載反射文件。惡意軟件在其他放大的DoS攻擊中也使用相同的請求。
根據Shodan的初始數據,有42000多個memcached服務器可能受到此類攻擊的影響。
僵尸網絡使用以下HTTP GET請求下載反射文件:

UDP-BYPASS攻擊
在UDP-BYPASS攻擊中,通過在特定端口上構造和卸載UDP來淹沒目標主機。執行此攻擊時,惡意軟件會選擇一個隨機端口和負載,將其發送到目標主機。惡意軟件使用多線程進行此攻擊;每個線程都有一個端口,后跟其負載。
以下是一些端口及其負載的列表:






上面看到的大多數腳本都用于服務發現。如果它們長時間發送到目標設備,會實現拒絕服務,使服務崩潰。
Phatwonk攻擊
phatwink攻擊一次執行多個DoS方法:XMAS、一次執行所有標志、usyn(urg syn)和任何TCP標志組合。
Momentum其他能力
通常惡意軟件試圖逃避檢測,保持開放的溝通渠道,以及更多的持續成功的運動。Momentum還有其他功能可以幫助它傳播和破壞設備:
快速流量。僵尸網絡采用快速流量技術,使其指揮控制網絡更具彈性?焖倭髁烤W擁有多個與域名相關聯的IP地址,然后不斷快速連續地更改地址,從而誤導或逃避安全調查。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 北京快乐3走势图 2020年香港最新开奖结果 新快三秘籍福彩新快三技巧 街机电玩捕鱼游戏开发 闲来麻将下载安卓版 哪个彩票软件有秒秒彩 股票市场价格趋势 扬中麻将免费下载 辽宁快乐12选五遗漏走势 3g体育比分直播中心 jdb电子龙王捕鱼漏洞 下载单机长沙麻将 1分快3骗局 江西十一选五开走势 浙江20选5开奖号码是多少 sm捆绑静电胶带