事件描述
![Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯 Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2023/04/6-1681866208.png)
我们注意到,样本在对白域名 “raw.pastebin.com” 进行 DNS 解析时,获取到的A记录与正常机器并不一致,可以推测出问题应该出在 DNS 服务器。分析样本发现其选择的 DNS 服务器都指向一个服务商—— ClouDNS。
![Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯 Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2023/04/1-1681866209.png)
ClouDNS 是一家 DNS 托管服务提供商,其提供的 DNS 托管服务允许用户在自定义的域名空间里,任意设置该域名的 DNS 解析记录。虽然 ClouDNS 对自定义域名做出了部分限制,但仍有大部分白域名可以被利用。
![Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯 Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2023/04/2-1681866209.png)
指定 ClouDNS 给定的 IP 作为名字服务器,可以给白域名绑定任意 IP 地址,以此伪造出在与白域名进行通讯的效果。
![Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯 Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2023/04/2-1681866209.png)
在使用 ClouDNS 进行解析记录设置时,从面板上看似乎仅允许设置子域名的记录,Dark.IoT 使用的 raw.pastebin.com 也似乎印证了这一点。但经过测试,子域名留空时同样能设置 TPD 的 DNS 记录。
![Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯 Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2023/04/2-1681866209.png)
实际上,Dark.IoT 一直都有使用 ClouDNS 的习惯,其 C2 地址 “babaroga[.]lib” 的 TLD 甚至不属于 ICANN 里的顶级域名。我们推测可能是 Dark.IoT 作者最近才发现 ClouDNS 可以用于解析白域名,毕竟白域名的DNS请求远没有非法 TLD 结构域名请求可疑。
家族介绍
Dark.IoT 样本活跃度如下:
![Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯 Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2023/04/10-1681866209.png)
Dark.IoT 扫描器活跃度如下:
![Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯 Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2023/04/6-1681866210.png)
可以看到,在对新版本样本进行传播后,样本活跃度虽然有提高,但是效果并不明显。其原因在于扫描器资源投入不高,且目前的传播手段都是一些陈年老洞。
样本细节
![Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯 Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2023/04/4-1681866210.png)
![Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯 Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2023/04/2-1681866210.png)
bot 在进行上线操作时,会检查自身的运行参数,运行参数代表了此 bot 的传播途径。目前发现主要存在以下传播途径(参数):
运行参数 |
传播手段 |
平台 |
gpon |
CVE-2018-10561 |
Gpon光纤路由器 |
gocloud |
CVE-2020-8949 |
GoCloud路由器 |
realtek/exploit.realtek |
CVE-2021-35394 |
Realtek SDK |
未知 |
CVE-2015-2051 |
Dlink路由器 |
弱密码/默认密码 |
GoCloud路由器、TELNET、SSH、Elasticsearch |
总结
IOC
C&C:
babaroga.lib @ns41.cloudns.net
dragon.lib @ns41.cloudns.net
blacknurse.lib @ns41.cloudns.net
tempest.lib @ns41.cloudns.net
raw.pastebin.com @ns41.cloudns.net
hoz.1337.cx
MD5:
3D4433C578D19E29DF52FD4D59A7DDFB
AB7D9E6F28DF5AEF65C665B819440BB6
D0AC70EF5D7317AEE275DD7C34EADB47
![Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯 Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2023/04/5-1681866210.gif)
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯