新型 IoT 机顶盒恶意软件 Rowdy 网络分析报告 一 执行摘要 2017 年 8 月，绿盟科技 DDoS 态势感知平台监控到某客户的网络带宽流量存 在异常情况，经分析确认是 DDoS 攻击事件。攻击类型多样，包括 TCP Flood、 HTTP Flood、DNS Flood 等。通过对攻击源 IP 进行溯源，发现攻击来自有线电视 的终端设备--机顶盒，然后提取了相关样本，进一步分析其攻击行为特征。 传播机制 m o c . 5 绿盟科技在 8 月捕获的这个样本，经过分析发现它一旦植入机顶盒，就立即 扫描，发送大量的数据包，并不断的与 C&C 控制服务器通信，根据样本的这个 b u 特征，绿盟科技将其命名为 Rowdy。在通过对 Rowdy 样本的分析中，发现其功 能及行为特征与物联网恶意软件 Mirai 极为相似。 h t i g 2016 年 10 月，美国域名解析服务提供商 Dyn 公司受到强力 DDoS 攻击，导 致美国遭受大面积的网络瘫痪，很多知名网站无法登陆。事后确认，攻击流量来 源之一是感染了 Mirai 僵尸的物联网设备，以摄像头设备为主。这是第一次大规 模的物联网设备组成的僵尸网络发起的 DDoS 攻击。 经过对比发现，Rowdy 其 bot 上线方式与 Mirai 相同，ddos 攻击代码一致，代 码结构基本无变化，基于这些特征已经可以确定，Rowdy 样本是 Mirai 物联网恶 意软件的变种，虽然入侵方式同样是破解设备弱口令，但采用加壳措施进行自我 保护，并采用一定的算法隐藏 C&C 控制服务器地址，通信端口 1992。 这里需要大家密切关注的是，Mirai 恶意软件经过改造后，实现了从摄像头 等视频监控系统向机顶盒物联网设备的跨越，这无疑大幅度扩展了其传播范围。 1 绿盟科技的专家随即对 Rowdy 物联网恶意软件的传播进行了跟踪分析，以求评估 其影响范围。 影响范围 经过评估发现，Rowdy 在短短数月时间已经形成了规模不小的 Bot 僵尸网络，感 染的设备涉及国内 5 家厂商。国内的机顶盒使用量有多大？据国家统计局 2 月份 发布的《中华人民共和国 2016 年国民经济和社会发展统计公报》显示，该设备 实际用户到达 2.23 亿户，同时据奥维云网《2017 年中 OTT 运营大数据蓝皮书》 m o c . 5 显示，该设备实际用户达到 2.4 亿台。如此庞大的网络，一旦被 Rowdy 快速渗透， 带来的后果不堪设想。 在跟踪调查中发现，Rowdy-Bot 僵尸网络已经开始向外发起 DDoS 攻击，我 们监控到的国内受控制僵尸主机已达 2000 多台，其中东南部沿海地区为重灾区。 b u 详见 下一章《Rowdy 僵尸网络分析》 h t i g 2 b u h t i g m o c . 5 Rowdy 僵尸网络所控制的机顶盒数量如果达到一定量级，它所发动的 DDoS 攻击能量将远超 Mirai 僵尸网络，毫无疑问将对互联网服务造成重大破坏。幸运 的是，在绿盟威胁情报中心 NTI、绿盟 DDoS 全球态势感知平台 ATM 以及绿盟 抗拒绝服务系统 ADS 联动下，及时检测并截获到这个最新的物联网僵尸网络， 并将该情况及时通知客户，从而在其萌芽阶段进行了有效处理。 报告内容 为了让大家警惕 Rowdy-Bot 僵尸网络及其后续可能出现的 DDoS 攻击威胁， 本篇报告详细分析了 Rowdy-Bot 僵尸网络及 Rowdy 物联网恶意软件，并对其进 行预警。在报告中，您可看到 Rowdy-Bot 僵尸网络的感染方式和影响范围，并可 以看到攻击者画像。相关机顶盒及更大范围的物联网设备厂家，请务必仔细阅读 3 本报告中技术性分析，并及时部署安全设备和更新安全规则，检测和防护 Rowdy-bot 僵尸网络，对后续可能引起的攻击进行防护。如果您需要快速获取 Rowdy 物联网恶意软件 IoC 信息，请直接查阅本报告附录部分。 二 Rowdy 僵尸网络威胁情报 Rowdy 僵尸通过自动化扫描方式传播感染，构成整个僵尸网络。首先，会对 目标设备进行扫描，利用内置用户名/口令字典，尝试登录 Telnet 服务。然后，便 通过设备的 busybox 工具下载并执行恶意病毒程序。 h t i g b u m o c . 5 4 Rowdy 样本支持多个平台，包括 x86、ARM、MIPS。僵尸网络能发动多种 DDoS 攻击类型，包括 HTTP Flood、SYN Flood、UDP Flood、DNS Flood、ACK Flood、VSE Flood、GRE IP Flood。组成僵尸网络的设备均为上网出口设备，因 此该僵尸网络具备发起大规模、大流量 DDOS 攻击的能力。 Rowdy 样本植入方式和攻击行为与 Mirai 极为相似，经过代码层面的详细分 析，二者还是存在着差异。相同点和不同点，如下表所示。 对比项目 Mirai 样本 Rowdy 样本 运行平台 全平台 全平台 传播 排他性 远程下载文件 隐藏进程 监听端口 C&C 控制服务器 DDoS 攻击能力 自身保护 植入工具 telnet 弱口令破解 √ √ √ 48101 硬编码存储 √ × busybox telnet 弱口令破解 × √ × 1992 经过计算得出 √ 加壳 busybox b u h t i g m o c . 5 Rowdy 样本更多内容，详见下一章节《Rowdy 样本分析》 C&C 控制服务器分析 Rowdy 僵尸网络的 C&C 控制服务器，IP 地址为 185.47.62.133，地理位置位 于荷兰。僵尸主机与 C&C 控制主机通讯端口为 8716。根据绿盟科技 NTI 关联分 析，C&C 控制服务器与僵尸主机通讯协议为 TCP 协议，通讯包字节基本都在 80~90 字节之间。 C&C 控制服务器分析 服务器 IP 地址 185.47.62.133 服务器端口 8716 地理未知 荷兰阿姆斯特丹 僵尸网络家族 Rowdybot.v1.0（Rowdybot 家族） 5 僵尸网络家族平台 IoT（物联网） Rowdy 僵尸网络 C&C 控制服务器地理位置： m o c . 5 在绿盟威胁情报中心 NTI 中搜索该 IP，可以看到该 IP 关联了大量的样本。 h t i g b u 6 h t i g b u m o c . 5 7 Rowdy 感染范围 虽然 C&C 控制服务器在荷兰，但我们监控到其控制的僵尸主机却全部在国内。 其中，东南部沿海地区为重灾区，有 2000 多台设备感染，其他地区感染的设备 很少。 b u h t i g m o c . 5 Rowdy 攻击时间表 对历史数据回溯，从 8 月初到 9 月初，近一个月内，我们观察到僵尸主机与 C&C 控制服务器的联系曲线如下图所示。随着被感染的设备增加，僵尸网络逐渐 扩大，增加到 2700 多台的规模。而随着僵尸网络调查深入和清理，僵尸网络又 迅速收敛，扩散速度得到有效抑制，被感染设备数量开始下降。 8 m o c . 5 三 Rowdy 物联网恶意软件分析 b u Rowdy 感染的平台 h t i g 获取 MIPS 平台的 Rowdy 样本，分析时看到其被加壳保护，去壳以后可以看 到完整的功能代码。查看字符串，发现样本中存在请求文件的字符串，可以看到 该样本涵盖了所有平台的设备。 进一步追踪分析，我们获取了其他平台的代码，如下所示。 9 m o c . 5 交叉分析后，我们认为所有平台使用的感染文件均由同一套源码编译而成。 样本初始化 b u 样本运行后首先会绑定本地的 1992 端口，如果绑定失败，则通过/proc/tcp 文 件找到相关进程，清理后强行绑定。 h t i g 接着样本会创建守护进程，当主进程退出时，继续启动主进程，保证程序不 会因为人为的 kill 操作而终止。 扫描传播 僵尸主机完成初始化后，会派生出子进程开始扫描攻击。植入过程均以 busybox 工具来进行设备信息获取、下载等操作。 10 扫描攻击是随机产生 IP 地址，并用 telnet 加弱口令密码进行尝试登陆，如果 所有口令尝试后均失败，则重新产生 IP 地址，继续攻击，若成功登陆，则记录下 IP 信息及口令，并利用设备上的 busybox 下载 web 服务器上的样本文件，继续感 染。 下图是产生随机 IP 的过程： b u h t i g m o c . 5 下图为尝试登陆并判断结果片段： 11 登陆成功，判断当前系统版本获取不同的病毒文件： h t i g b u m o c . 5 12 b u h t i g m o c . 5 根据不同的版本下载不同文件，可以看到命令行参数为 telnet.scan.wget。 13 与 C&C 控制服务器通信 m o c . 5 样本在连接服务器时会先发送两字节的 00，发送成功之后，会继续发送六字 节的固定内容，接着再发送一字节给服务器，表明下次发送的内容长度。 h t i g b u 14 服务器回复时也采用同样的策略，先回复两字节数据作为将要发送数据的长 度，接着再发送内容数据。 客户端接收到的指令数据包格式如下表所示。ID 是表明了此次采用的攻击方 式，attack_type 表明此攻击方式应调用的函数。 m o c . 5 指令类型 字节数 duration（攻击时长） 4 字节 b u ID（攻击类型，对应于函数序号部分） target_num（攻击目标个数） ti h target(攻击目标信息) attack_type（攻击类型，对应于攻击类型部分） g 4 字节 4 字节 根据目标个数来决定 4 字节 客户端根据接收到不同的指令来向目标发起不同类型的 DDoS 攻击，攻击包 内容均随机产生。 15 具体的函数与函数序号对应关系： 攻击类型（ATK） 函数序号 NUM 攻击函数 FUN ATK_VSE 1 UDP_VSE_8049F77 ATK_DNS 2 DNS_804A27B ATK_UDP_PLAIN 8 UDP_PLAIN_8049C88 ATK_UDP 9 UDP_8049E61 ATK_GREETH 3 ATK_GREIP 4 ATK_STOMP 5 ATK_ACK 6 ATK_SYN g 与 Mirai 源代码比对 ti h b u 7 m o c . 5 GRE_