0x01 研究背景

最近在研究企業(yè)服務(wù)器集群安全的時(shí)候，發(fā)現(xiàn)針對企業(yè)服務(wù)器集群的僵尸網(wǎng)絡(luò)攻擊明顯增加，并且呈現(xiàn)出一個(gè)很強(qiáng)的趨勢。

僵尸網(wǎng)絡(luò)(Botnet)，是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序(僵尸程序)，從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對多控制的網(wǎng)絡(luò)。

針對服務(wù)器的Botnet植入，大多都是通過“抓肉雞”(簡單的說就是利用對方電腦漏洞進(jìn)行入侵，或者木馬病毒種植，然后隨便控制對方計(jì)算機(jī)，為所欲為，比如文件的刪除，篡改破壞等，在這里的話，抓肉雞的主要目的其實(shí)還是為了去植入Botnet病毒，并且激活)的形式來組件僵尸網(wǎng)絡(luò)。組成的僵尸網(wǎng)絡(luò)可以用來當(dāng)做二級服務(wù)器進(jìn)行病毒樣本的散播，也可以用來進(jìn)行一些DDoS攻擊、CC攻擊等一些需要大量服務(wù)器進(jìn)行的大規(guī)模分布式攻擊，影響很大，如下圖就是服務(wù)器遭受elknot DDoS病毒攻擊的異常流量。

圖1：異常的UDP流量

這臺受害的主機(jī)遭受了來自國外肉雞的DDoS UDP攻擊，流量峰值可以達(dá)到3000mbps以上，可見影響非常大。

0x02 攻擊原理

前面提到攻擊者通過抓肉雞的方式來獲取服務(wù)器，這些肉雞服務(wù)器大多數(shù)都是帶有大量安全隱患的服務(wù)器，比如一下幾種服務(wù)器：

• 使用不安全的服務(wù)器軟件(如包含Struts安全漏洞的JBoss服務(wù)器軟件)
• 沒有及時(shí)安裝最新安全更新的操作系統(tǒng)(如使用WinServer2003等老舊的系統(tǒng))
• 系統(tǒng)本身存在可以提權(quán)或者直接為最高權(quán)限的弱密碼賬戶
• 連接外網(wǎng)的蜜罐服務(wù)器(大多為弱口令)
• 可以獲取到系統(tǒng)權(quán)限的漏洞、0day漏洞(如Redis Crackit)

這些都會(huì)被從事黑產(chǎn)工作的不法分子當(dāng)做肉雞被抓獲。用來組建大規(guī)模分布式的Botnet肉雞網(wǎng)絡(luò)。

抓取完肉雞后，攻擊者一般會(huì)對其執(zhí)行植入病毒的操作，并且激活病毒，激活病毒包括兩種方式：

(1) 手動(dòng)激活：在使用wget等命令從病毒分發(fā)服務(wù)器上下載病毒后，提權(quán)后執(zhí)行病毒文件。在執(zhí)行病毒操作前，一般會(huì)關(guān)閉一些安全相關(guān)的軟件，比如iptables、ufw等防火墻軟件，例如使用service iptables stop、SuSEfirewall2 stop這些命令來關(guān)閉防火墻。

圖2：某肉雞的操作日志

(2) 被動(dòng)激活：同手動(dòng)激活的方式類似，先將服務(wù)器上安全相關(guān)的軟件關(guān)閉后wget病毒樣本，然后將病毒文件寫入/etc/init.d或者/boot等自啟動(dòng)的目錄，然后當(dāng)受害者重新啟動(dòng)的時(shí)候，病毒腳本自動(dòng)啟動(dòng)。攻擊者一般會(huì)選擇以下幾個(gè)目錄進(jìn)行病毒寫入：

/etc/init.d/ 
/boot 
/root 
/etc/cron.hourly 
/etc/rc.x 
/var/tmp 
/tmp 
/mnt 

圖3：某肉雞/etc/init.d目錄下被寫入惡意程序

一般病毒執(zhí)行后，會(huì)連接到對應(yīng)的服務(wù)器，我們稱之為C&C服務(wù)器(Command & Control Server)，并且肉雞的狀態(tài)會(huì)被C&C服務(wù)器監(jiān)控，攻擊者一旦發(fā)現(xiàn)肉雞因?yàn)槟承┰驍嗑€，會(huì)再去尋覓新的肉雞。

圖4：某病毒分發(fā)服務(wù)器

圖5：C&C服務(wù)器通信原理

通過C&C服務(wù)器，攻擊者即可對肉雞做到絕對的控制，并且可以通過http協(xié)議發(fā)送信令，控制肉雞。

大致的一個(gè)流程如下圖所示：

圖6：利用Botnet攻擊受害者服務(wù)器

首先攻擊者配置botnet病毒分發(fā)服務(wù)器(這些服務(wù)器大多來自于境外的VPS供應(yīng)商或者是黑客從境內(nèi)抓到的不安全的服務(wù)器，后者則會(huì)以web服務(wù)的形式對外散發(fā)botnet病毒而服務(wù)器擁有者并不知情)和C&C服務(wù)器，同時(shí)在公網(wǎng)范圍內(nèi)尋找可以控制的肉雞集群(Victim1、Victim2和Victim3)，然后控制肉雞集群在從botnet病毒分發(fā)服務(wù)器上去獲取病毒樣本(一般使用wget命令)并且賦予執(zhí)行權(quán)限后(chmod 777 xxx)執(zhí)行botnet病毒樣本(./xxx)，或者使用nohup命令讓病毒后臺執(zhí)行(在這里我們可以用top命令來觀察消耗資源較多的進(jìn)程，鑒于botnet攻擊網(wǎng)絡(luò)會(huì)消耗大量的CPU、內(nèi)存、網(wǎng)絡(luò)等資源，這里可以比較容易識別的到樣本的位置)，對于有些境外的攻擊者，還會(huì)添加echo "nameserver 8.8.8.8" >> /etc/resolv.conf，用來更改DNS解析地址，鑒于我國網(wǎng)絡(luò)的大條件下，你懂得。

圖7：捕獲的部分botnet病毒分發(fā)服務(wù)器及樣本

在肉雞內(nèi)部署botnet病毒并且執(zhí)行完畢后，肉雞將會(huì)和C&C服務(wù)器進(jìn)行通信，來接收C&C服務(wù)器發(fā)出的控制指令(一般為HTTP協(xié)議，但是根據(jù)最近得到的一些botnet樣本中，我們同事發(fā)現(xiàn)了一些基于TLS/SSL協(xié)議的C&C通信模型)。到這里，一個(gè)botnet僵尸網(wǎng)絡(luò)就已經(jīng)組建完畢。接下來，攻擊者可以通過C&C服務(wù)器對目標(biāo)系統(tǒng)(圖中的Victim4)進(jìn)行攻擊行為，來使目標(biāo)系統(tǒng)無法正常提供服務(wù)甚至癱瘓。

圖8：使用top命令觀察內(nèi)存占用較大的程序

0x03 攻擊方式

基于僵尸網(wǎng)絡(luò)發(fā)起的網(wǎng)絡(luò)攻擊方式有很多，根據(jù)這幾天獲得的病毒樣本來看，大多數(shù)主要攻擊還是以DDoS攻擊為主，例如最近抓到的某樣本主要功能在 cnc_communication_handler()函數(shù)中完成, 包括建立 C2 session、發(fā)送上線包、接收和響應(yīng)指令。其交互過程為:

1. Bot 連接 C&C 服務(wù)器,分別發(fā)送 2 個(gè)密文 botidbuff 和 verbuff。

2. Bot 等待服務(wù)器的指令,根據(jù)指令類型作出響應(yīng)。

圖9：某病毒樣本的符號特征

指令報(bào)文： 某病毒樣本解密后的指令消息為文本格式, 以一個(gè)指令名稱 COMMAND 開頭, 后面緊跟若干空格隔開的參數(shù),形如:

COMMAND <arg1> <arg2> ... <argN> 

具體的 COMMAND 可以分為兩類: 遠(yuǎn)控類和攻擊類, 各種命令的意義和格式如下表所示。

表1：某Botnet家族可以執(zhí)行攻擊的類型和信令

對于大多數(shù)DDoS來說，大部分DDoS的攻擊流量均來自于UDP，根據(jù)本人的日常監(jiān)測數(shù)據(jù)來看，絕大多數(shù)針對服務(wù)器的DDoS攻擊均為UDP的方法/反射方式，目前DDoS的攻擊可以有以下幾種類型：

表2：Botnet可以發(fā)起的DDoS攻擊類型

表3：UDP DDoS可以放大的攻擊倍數(shù)

根據(jù)個(gè)人的一些研究發(fā)現(xiàn)，反射性的攻擊現(xiàn)在成為了UDP DDoS攻擊的主流類型，畢竟反射型DDoS攻擊可以用很少的代價(jià)取得一個(gè)相對不錯(cuò)的效果。

0x04 緩解方案

對于Botnet發(fā)起的DDoS攻擊包括其他的DDoS攻擊，首先得有一個(gè)意識，那就是不能夠100% 杜絕此類攻擊對于服務(wù)器集群的影響，對于Botnet發(fā)起的分布式DDoS攻擊，可以采取一些方法針對性的疏導(dǎo)或者吸收攻擊的流量，如Flowspec或者RTBH，甚至在流量過大的情況下可以直接去屏蔽來自外界的流量，只保留需要的鏈接，這樣可以一定程度上緩解DDoS攻擊對服務(wù)器所帶來的影響。

對于服務(wù)器被抓肉雞這事兒，建議采取以下操作：

1. 必須要對服務(wù)器進(jìn)行端口設(shè)置，并且要做更細(xì)粒度的權(quán)限劃分，保證權(quán)限不會(huì)被濫用。

2. 將服務(wù)更新到最新，使用舊版本的服務(wù)可能會(huì)因?yàn)楹诳屠靡阎┒磳δ繕?biāo)系統(tǒng)進(jìn)行滲透，從而導(dǎo)致服務(wù)器當(dāng)做肉雞對外攻擊。

3. 更改公司的安全策略，保證服務(wù)器不存在弱口令和空口令，防止黑客利用bruteforce方式抓取肉雞;盡量使用不同的密碼，防止黑客使用撞庫的方式獲得服務(wù)器權(quán)限。

4. 使用服務(wù)器操作監(jiān)控的軟件記錄敏感操作和敏感目錄文件變化，例如使用企業(yè)內(nèi)部可限制僅可以堡壘機(jī)方式登錄內(nèi)部服務(wù)器。

5. 對服務(wù)器的端口進(jìn)行周期掃描和嚴(yán)格管控，防止服務(wù)器被黑客當(dāng)做botnet病毒分發(fā)的工具甚至是肉雞。

畢竟黑產(chǎn)這種東西，人在做，天在看。

【本文是51CTO專欄作者elknot的原創(chuàng)文章，轉(zhuǎn)載請通過51CTO獲取授權(quán)】

戳這里，看該作者更多好文