本报告由CNCERT物联网威胁研究团队与绿盟科技伏影实验室共同发布
近年来,我们发现IoT相关的恶意软件家族攻击活动日趋频繁,并以此构建起了各式各类的IoT僵尸网络,对网络空间带来了极大威胁。这些恶意软件及僵尸网络之间都有什么样的联系,背后的组织又是谁呢?我们拟发布一系列技术分析报告,逐个披露这些僵尸网路背后的组织及攻击细节,绘制一幅僵尸网络组织全景谱系图。本报告为系列报告的第一篇,披露“L33T”僵尸网络犯罪团伙的活动情况。
“L33T”团伙的命名来源于溯源信息以及恶意软件中留下的签名信息“daddyL33T’s back”。该团伙从2021 年 9 月份开始就大规模布局,其基础设施在荷兰、美国、越南等地均有分布,攻击范围涵盖了中国、德国、英国在内78个国家和地区,攻击目标包含了游戏、私服、教育网站等行业。其中国内的广东、香港、四川、台湾等地均有受到影响。该团伙控制着Mirai_L33T、Gafgyt_L33T、以及BOAT_L33T在内的多个僵尸网络家族,这些僵尸网络的恶意软件大部分是修改自开源代码,很难把它们从已知家族中区分出来,隐匿性强,检测难度大。其运营的Mirai_L33T僵尸网络更是在2022年7月29日至8月22期间下发了近5000条DDoS攻击指令,涉及攻击目标3000多个,其单日下发指令数最高达到1000条以上。从其布局可以判定其进入黑产行业的野心不小。
该团伙在内的多个僵尸网络犯罪团伙都采取了与KekSec[1]相似的运营思路:在发展的初期构建了大量带有宣传性质的僵尸网络,以期达到扩大知名度进而获得更多资源并谋求进一步发展。自2021年以来,僵尸网络犯罪团伙开始从“幕后”走向“台前”,2022年开始这一趋势愈发明显,他们运用各种社交媒体宣传自身,一方面,这种方式有利于扩大知名度,吸引更多资源,从而支撑后续的发展;另一方面,这种方式伴随着的聚集效应可以有效地隐匿真实身份信息,达成“KekSec效应”。僵尸网络的运营者在宣传的同时也不忘提升自身实力,长期运营并不断更新版本,在一定程度上攻击者更舍得投入资源,这值得引起我们的警惕。
在日常威胁监测过程中我们关注到一个基于Gafgyt源代码开发并存在签名信息“daddyL33T’s back”的僵尸网络木马。
早期存在许多与“daddyL33T”相关的描述:有人认为“daddyL33T”是一种习惯性使用的符号标签,也有人认为“daddyL33T”确有其人。比如2017年的一篇研究报告称“daddyL33T”是一个 13 岁的黑客,当时在开发恶意软件方面缺乏经验,曾发帖寻求僵尸网络开发相关帮助,以及兜售过他的僵尸网络。
“daddyL33T”存在一个名为“daddyL33T”的YouTube账号,该账号下的视频都是四年前发布的,近期并无更新。
图2.3 “daddyL33T”Youtube账号
2021年 9 月份开始,打着“daddyL33T”的名号散布一个名为“daddyL33T.x86_64”的二进制恶意程序的团伙出现了。早期的“daddyL33T”倾向于传播Mirai类变种,但从这时开始,大量基于Gafgyt源代码开发的带有“daddyL33T”标签的僵尸网络木马开始涌现。
2022年6月份以来,我们再次捕获了多个带有“daddyL33T”标签同时又隶属于不同家族的样本,关于幕后的控制者是否与5年前的“daddyL33T”是同一批人,由于时间过去了比较久,其中可能存在的变数比较大,很难给出一个确切的答案。但这类样本构造精妙,类型丰富,且活动高度密集,所持有C2基础设施又多次被不同家族的变种使用,判断2021 年 9 月份以后的活动为同一团伙所为,我们将该团伙命名为“L33T”团伙。
“L33T”团伙拥有众多的C2资源,运营至少三种类型的僵尸网络,其控制服务器均位于境外,得益于国内相关主管单位高效的僵尸网络治理工作,持续打击僵尸网络团伙,国内感染主机并不多。
该团伙C&C基础设施在荷兰、美国、越南、法国均有分布,其中荷兰最多,详情如下:
根据网络安全应急技术国家工程研究中心(CNCERT)监测数据显示,该团伙控制国内失陷主机主要分布在辽宁、北京、广东、上海、四川、河北等地区,失陷主机多归属于中小企业,部分为黑灰产。反映出目前中小企业,特别是制造业物联网设备安全性较低的情况。
根据绿盟科技伏影实验室的监测数据显示,“L33T”组织的C2基础设施103.*.*.233 在去年9月份时曾作为Gagfyt_L33T木马的C2,今年7月份开始又作为Mirai_L33T木马的C2再度使用,Mirai_L33T木马于2022年7月29日至8月22期间下发攻击指令达4972条。
从指令下发频度图可以发现其单日下发指令数最高达1000条,攻击者每隔几天就会停止下发指令。
各种攻击方式中以UDP_Flood居多,百分之八十以上指令都采取该攻击方法,其次为DNS_Flood,相比之下ACK_Flood最少。
攻击者在一天中的各个时间段均有指令下发,且各时间段下发指令的频次相差不大,均在每小时200条上下,攻击者或采用自动化的攻击方式24小时不间断地对选定目标发起DDoS攻击。
图2.8 Mirai_L33T各时间段单位时间指令下发数
攻击目标涵盖范围也十分广泛,去重后共有3000多个受害目标,涵盖了游戏,私服,教育网站等,按照受害者ip归属地划分可以发现攻击范围涵盖78个国家和地区,大多数受害者位于欧美地区,国内部分区域也有受到影响。
国内的广东、香港、四川、台湾均有监测到攻击指令,但受害ip数量相对偏少。
相较之下另一个C2(109.*.*.49)所下发的指令则相对较少,但攻击时长较久,发起的DDoS攻击时长均在10到40分钟之间,该服务器同样也是被Gagfyt_L33T与Mirai_L33T共同使用,监测数据显示,所控制的Mirai_L33T木马在运营期间攻击目标以欧美地区为主,部分攻击指令如下:
图2.11 Mirai_L33T 另一C2指令监测情况
前文所涉及的Gagfyt_L33T样本属于Gafgyt类变种,主要功能以DDoS攻击为主,包含ICMPFLOOD,STD在内的多种指令。
相较于传统类Gagfyt,该类变种除了存在签名信息外并无特别之处。相似地,该组织所运营的Mirai类变种(Mirai_L33T)同样与原版相差不大,就连上线流程都未改变,很难通过流量及文件侧特征把它从Mirai大家族中区分出来。
除了这些复用开源代码构建的僵尸网络家族以外,我们注意到由伏影实验室今年6月份发现并命名的僵尸网络家族BOAT在上线过程中也十分巧合使用了相同的字符串“daddyL33T”。BOAT家族分析详情参考“http://blog.nsfocus.net/BOAT-booat-0day/”。
通过回溯全球威胁狩猎系统,我们发现BOAT家族自今年6月份以来不断升级,相较于最初版本已经历了脱胎换骨的变化。最初版本的BOAT僵尸网络在上线交互过程会下发弱口令对,分析之初我们就察觉了这一设计的不合理性,随着最新样本的发现,证实了这一猜测,最新版本的BOAT改进了整体的设计,弱口令对会被直接用于扫描模块,相较之下更加成熟,分析如下:
表2.3 BOAT_L33T指令功能
值得注意的是当首字节为“0x4”时Server端会下发弱口令对,而这一过程在最初版本被用作上线交互:
该版本的bot在接收到弱口令对后会利用这些数据发起扫描行为:
接收数据包首字节为“0x03”时,发起DDoS攻击,依据flag位的不同选择不同的攻击方式:
bf4eded08c22076e67770a8c1dc3df7d
427a16d0341d81473985a9cb578173f6
ba97323b9f12bb926bdbdca6499b29b2
c30d0f651c6ff2661013e8f94f8290e2
0f81529840db4b3b4a5832970431876a
3a0cde8625ffa5b65dcbcce97fa4854f
427a16d0341d81473985a9cb578173f6
ba97323b9f12bb926bdbdca6499b29b2
c30d0f651c6ff2661013e8f94f8290e2
cd14b21af80803f6422d5fff000f7c87
a8e1f6caa6ae4fe1beb3361781e7cc8d99379759b275161b30c60b172dde4cf
39354f020e23e9ac6552945c646413f4a41b054bf83117b2d30b003e40926da0
79e0f74707c77485e274afe86ee795e9566ca60e6fc88dde72eed108564af269
b6b21cb9b1feb19381785c8b5a18587e8f3767b2c50f0df3319ee32f67386a4d
4fc6a45dc8d84ac350a94fc9a9f719d97cdbc1a03e0e10ecd897d36b77f50e07
2c4a36b3b27ed773497867610bb18af0c05d50f4aa5ec5d81ec97de2b112c370
BOAT_L33T
4eaac33aea0caf325070f8ec8b53511fb2f546c7a4daf7816e2d71e3fe23a482
283f96f7d19b68e890cb6a4ab22e47fde3c41ac4d9d35861235398d38fa00028
f9c14db56c02fdfa448349c0e8c1281d63e53d2db8913e58ef0b3f0d42a597ae
7fde8c9d7dc76c8e931978d1cb515c5a2d0348aab07e038279bacfd297682252
86b0302763b41034eca7cb5282b22a3014503aab3cbf96a358212bba7263695e
238a2e3968b6a75c011cd5b494069d74bb31fce5564ae0d8b7a07dff74a18a21
原文始发于微信公众号(关键基础设施安全应急响应中心):新型僵尸网络犯罪团伙系列之:“L33T”团伙
