作者:伏影實驗室
公眾號:綠盟科技
概述
在萬物互聯的物聯網時代,IoT設備的脆弱性亦廣為世人所發掘。隨着暴露在互聯網中存在安全隱患的IoT設備的增多(僅中國國內就有1200W台以上),越來越多的惡意軟件亦將目光對準了這個取之不盡的殭屍資源庫,因此IoT平台上的惡意軟件家族數量呈現爆發增長態勢,僅2018年一年中就有21個新的IoT殭屍網絡家族被發現。
而在這些殭屍網絡家族中最為活躍的Gafgyt,因其靈活和簡潔而較其同行Mirai、xorddos、mayday、GoARM等家族更受到黑產從業者們的歡迎,因此一直以來是伏影實驗室的關注重點。近期我們監測到Gafgyt各變種C&C服務器在指令下發階段皆有較大的活躍傾向,因此我們對其近期的指令下發行為進行了數據分析,發現其已完全實現了“BaaS”(Botnet as a Service,殭屍即服務)的思想,且C&C服務器的擁有者亦產生了強烈的同行競爭和宣傳意識。
BaaS-殭屍即服務
以往,殭屍網絡是由攻擊者主動製作並擴散惡意軟件以感染設備,並根據購買者的需求來操作這些設備發動大規模的DDoS攻擊,其攻擊時間亦完全取決於攻擊者的工作時間,也是需要較高的技術水平和長時間的殭屍資源積累方能達成的,因此在很長一段時間內由於殺毒軟件的普及,由殭屍網絡引起的大規模ddos攻擊佔比曾一度下降。
而BaaS模式的殭屍網絡提供了租賃服務,即提供給沒有殭屍資源和技術水平的用戶一定時間內一定數量殭屍的使用權,並根據用戶所需的規模、配置等參數的不同提供定製化的服務,加上自動支付平台的普及,用戶們只要付款就可以即時獲得一批傭兵式的攻擊資源,不僅提供了隨時隨地發動攻擊的敏捷性,也大大提高了作為用戶時“一切都在自己控制下”的趣味性及對控制慾望的滿足,這些因素正使得這一模式逐漸成為殭屍網絡獲利的主流。
而IoT平台中活躍的Gafgyt家族,正是通過BaaS化實現轉型,成為殭屍網絡中“日不落帝國”一樣存在的典型案例。
Gafgyt家族介紹
2014年8月,索尼PSN遭受來自Gafgyt家族的DDoS攻擊,以至完全癱瘓,黑客組織LizardSquad聲稱對此次事件負責。
同年12月,LizardSquad再次利用該家族對微軟Xbox Live發動DDOS攻擊,致使數百萬遊戲玩家無法連接到遊戲服務器。
2015年1月,Gafgyt家族的源代碼被公開,其源碼僅由一個.c文件構成,共計1600+行代碼(含telnet掃描模塊及弱口令字典)。
此後,各黑產從業者開始以該家族為基礎開發大量變種(如Bashlite、Qbot等),使原本只屬於LizardSquad的攻擊痕迹得到隱藏。
數據分析
1、C&C服務器分佈:
我們通過對Gafgyt家族的C&C服務器地理位置分佈進行繪製,得到了如下的熱力圖:
转载请注明:IAMCOOL » Gafgyt 魔高一尺,引領殭屍網絡