近年来,僵尸网络发起的攻击活动日益猖獗,越来越多僵尸网络攻击团伙浮出水面,这些团伙的背后也透漏着更高级势力的参与的痕迹,已对国家安全造成严重威胁,加强对僵尸网络的治理迫在眉睫。绿盟科技伏影实验室依托全球威胁狩猎系统对全网僵尸网络家族进行了长期的监测,积累了大量的情报数据。我们拟发布系列文章对活跃僵尸网络家族及其背后控制团伙发展情况逐个进行披露,绘制一幅僵尸网络家族及其团伙攻击活动的全景图,同时也希望通过威胁情报共享的方式来与安全社区共同探讨,为网络空间的治理贡献一份力量。
本报告作为系列报告的第一篇,将对Xorddos近年来的活动情况及其背后控制者的信息进行披露。Xorddos家族近年来迎来了一次爆发式的增长,时至今日,该家族不论是在控制肉鸡数还是指令下发数量上都已跃居成为仅次于Mirai的一个超级僵尸网络。Xorddos并不像Mirai和Gafgyt那样因代码开源而被滥用,其控制者没那么多,在黑色产业链的某个圈子里被一些小群体所使用和维护,其背后主要控制者之一的ata团伙也透漏出与众不同的特质,近些年单是利用两个域名就累计下发了20余万条攻击指令,下发的总指令数更是占据Xorddos家族下发指令总数的三分之二,是该家族的主要控制者之一。ata团伙攻击目标高度集中,攻击活动极具组织性。
Xorddos家族首次于2014年露面,功能上以DDoS攻击为主,通过SSH爆破的方式传播。基于长期的追踪与监测,我们认为Xorddos在黑色产业链的某个圈子里被一些小群体所使用和维护,其背后隐藏着一个不同寻常的控制者,该控制者在攻击活动中表现出高度的定向性和组织性。伏影实验室将该团伙命名为ata团伙。黑产团伙间协作的紧密性导致ata团伙与已知的Xorddos的控制者之间的关系并不明晰,但ata团伙所表现出来的特点却有点与众不同,虽然他们控制的木马家族种类相对单一,但下发指令的数量及攻击目标地域分布的集中性都令我们感到震惊。
通过租赁服务盈利是僵尸网络团伙常用的手段之一,这也导致运营者会依据“客户”需求来决定攻击目标,所以我们会看到大多数的僵尸网络家族在长时间内的攻击目标分布是极为分散的,但这一点与ata团伙所表现出来的却截然不同。监测数据显示,ata团伙的一个域名的A记录解析到6个不同的ip,攻击者单是利用这6个ip作为C&C来控制Xorddos木马在近两年的时间里就累计下发了10余万条攻击指令,而这些攻击指令的攻击目标中竟有高达94%的比例位于国内和美国。
图2.1 ata 攻击目标分布
在针对国内的攻击中,攻击目标也出奇的集中,六成以上的受害者位于香港:
图2.2 国内受害者分布
ata团伙发起的攻击活动中不乏对国内关键基础设施的攻击,其中以电力和教育行业所遭受的攻击最多,其次为建筑行业,铁路部门和政府机构。
图2.3 ata攻击目标所在行业分布
ata团伙所发起的攻击活动极为频繁,监测数据显示,该团伙近两年来单是使用两个域名所下发的攻击指令就达到20余万条,所下发的总指令占据xorddos家族所下发指令中的三分之二以上。ata团伙C&C基础设施更换频率不高,C&C的存活期也相对较长,所使用的Xorddos木马在运行时会解密出一组服务器列表,域名间具备极高的相似性,比如第二级域名多次使用“atat456”字符串,以类似“**.**atat456.com”的形式命名,也正因如此,ata团伙的攻击活动相对来说具备较高的辨识度,互联网上也不乏对该团伙攻击事件的曝光。如在2019年该团伙就因“知名端口转发工具rinetd遭高仿投毒①”事件而被安全厂商披露活动细节,再比如部分安全从业人员在日常工作中对遭受入侵的设备排查中也发现过与之相关联攻击事件②。
图2.4 ata 历史攻击事件互联网信息
ata团伙攻击活动特点:
1.域名命名中多次出现“atat456”字符串;
2.C&C存活时间都比较长,多数存活期在两年以上;
3.C&C端口选用上使用常见服务端口(如53,1430等),用以隐藏规避;
4.主要通过SSH爆破的方式传播;
5.活动相对独立,很少与其它家族配合;
6.攻击目标集中,并不是无差别式的攻击,表现出高度的定向性,主要针对国内和美国;
7.Xorddos的控制者一个月只工作几天,基本在一周以内;
8.多数样本以Libudev.so命名;
9.样本侧版本更新频率低;
10.受害者较多,互联网上与相关域名关联的攻击事件不在少数。
①https://security.tencent.com/index.php/blog/msg/173
②https://www.freebuf.com/articles/system/119374.html
2022年以来,一向沉默的Xorddos迎来了一轮爆发式的增长,样本量猛增数倍,近一年以来的监测数据显示,IoT僵尸网络家族中,Xorddos所下发的DDoS指令数仅次于Mirai,占比达到34%。
图3.1 各家族下发指令数占比
Xorddos主要通过暴力猜解目标主机ssh 弱密码的方式入侵,绿盟科技全球威胁狩猎系统监测数据显示,IoT家族中Xorddos所控制设备数仅次于Mirai,占比为24%。
图3.2 各家族控制设备数
相较于Mirai和Gafgyt家族,Xorddos所控制C&C数量并不是很多,仅有百余个,但C&C的存活时间却相对较长,大部分存活期在两年以上,且持续有指令下发,其C&C在地理分布上41%位于法国,其次是德国和新加坡,占比达到24%和10%。
图3.3 Xorddos C&C分布
时至今日,Xorddos已发展成为一个不容忽视的威胁源,Xorddos背后的控制者长期以来表现相对沉默,并没有像其他团伙那样通过各种社交媒介来大肆宣传,这也导致对其控制者的团伙画像较为模糊,但从观察到的现象可以推测Xorddos背后受到黑色产业链的支撑,被一小批人控制着,这也导致其变种并不像Mirai和Gafgyt那般泛滥。已有的监测数据显示,该家族中至少有三分之二的攻击指令由ata团伙下发,其背后的势力不容小觑,伏影实验室将长期加强对Xorddos及其背后ata团伙的监控。
145.239.223.16
103.106.245.71
5.39.28.139
104.149.19.75
176.31.91.137
ea60e4fe6e6c355be1bb22ae38a4767deca228a23cc00acc0c000e2921661f44
4951e9be9bec21f390e923553e7792897b7f743f5a58db56856dbdd37045080a
18f09d7e9e5aff06c7b0dcc5dcd3622b3031def59c73b4f805988f729deda163
80fc847839d42d10c3e3b8090e1478cd13141ce2f7da1aedc965392a72ac88f5
e290b7bd4371f89e076c90fad6cef24738f70d8298bc77005ab1354015120520
23fb094a6518e28449623409a5f1a0f851c31b13650754109f75666ee3281dfc
35b0daca81f058dffeec1f06bfc775cc03c8c54069211647a9ac41c0947185cc
810c0070d07e3246ce69b94d2ba87e6c1e49c13c800765dee83582522a171597
3a09076eab4db4ec11417bede9421d483e7d6902f41226298fdf334d2ca2321c
fffa07057a61cf49ae4d6534bd931062eca3f6bdaa04223dda15454f6cdfa25a
关于绿盟科技伏影实验室
研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。
绿盟威胁情报中心
绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI)是绿盟科技为落实智慧安全3.0战略,促进网络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。
绿盟威胁情报中心官网:https://nti.nsfocus.com/
绿盟威胁情报云:https://ti.nsfocus.com/
扫码关注我们
公众号 | 绿盟科技威胁情报
原文始发于微信公众号(绿盟科技威胁情报):持续扩张的Xorddos及其神秘的控制者-ata团伙
