前言

殭屍網絡 Botnet 是指採用一種或多種傳播手段，將大量主機感染bot程序（殭屍程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。

攻擊者通過各種途徑傳播殭屍程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個殭屍網絡。之所以用殭屍網絡這個名字，是爲了更形象地讓人們認識到這類危害的特點：衆多的計算機在不知不覺中如同中國古老傳說中的殭屍羣一樣被人驅趕和指揮着，成爲被人利用的一種工具。

而本文提到的一種最新的殭屍網絡Mirai變種ECHOBOT，足足使用了71個漏洞利用(EXP)，將對每一個資產進行漏洞批量掃描，要知道，半年前還有13個漏洞並沒有加入他們的利用庫中，這比很多漏洞掃描工具的更新速度還要快。

此外還將對近期披露的關於網軍與殭屍網絡合作共贏一事闡述。

ECHOBOT殭屍網絡

最新的殭屍網絡參考平底鍋的文章[1]中提及的ECHOBOT最新變種，從惡意軟件的代碼以及種類可見，其模塊衆多，跨多平臺，內置71個漏洞利用代碼，其中每個漏洞利用語句的變量名都代表了每個漏洞的所攻擊的中間件。

▲截圖用Hash：b4135621d623676cc021c570aea07964

本着推動國內安全廠商對該殭屍網絡防護能力提升的原則，我們搬運了平底鍋整理的漏洞利用列表，僅供參考。

一、Yachtcontrol-船用電子設備和船用導航軟件的web服務器

CVE-2019-17270 掃描端口8081

二、Technicolor TD5130v2和Technicolor TD5336路由器

CVE-2019-18396 / CVE-2017-14127 掃描端口161

三、 CON6視頻會議系統存在 CON6遠程執行代碼漏洞

四、Enigma網管系統 v65.0.0

CVE-2019-16072

五、三菱電機smartRTU＆INEA ME-RTU

CVE-2019-14931

六、適用於Linux服務器的Sar2HTML繪圖工具v3.2.1

Sar2HTML遠程執行代碼

七、NetGain企業管理系統

CVE-2017-16602

八、Citrix NetScaler SD-WAN 9.1.2.26.561201設備

CVE-2017-6316

九、Thomson Reuters Velocity Analytics Vhayu Analytic Servers 6.94 build2995

CVE-2013-5912

十、ACTi ASOC 2200 Web Configurators 2.6及更低版本遠程執行代碼漏洞

十一、3Com OfficeConnect路由器遠程執行代碼

十二、Barracuda 防垃圾郵件防火牆versions 3.3.x

十三、CCBill 在線支付系統遠程代碼執行

剩下的58個漏洞編號列表以及其他漏洞執行語句可見以下鏈接，可複製

[1] https://github.com/pan-unit42/iocs/blob/master/mirai/ECHOBOT_28thOct2019.md

[2] https://github.com/pan-unit42/iocs/blob/master/mirai/ECHOBOT_6thAug2019.md

[3] https://unit42.paloaltonetworks.com/new-mirai-variant-adds-8-new-exploits-targets-additional-iot-devices/

此外，該變種還採用了新的憑據爆破賬號，猜測某些IOT廠商又設置了默認的“後門賬號”。

殭屍網絡與網軍合作

從上面這個案例可見，當殭屍網絡部署了大批有效的漏洞武器後，鑑於全世界範圍內很多設備並沒有及時更新的情況下，大批主機將會受控，並且基於受控主機的基礎上進行一步進行橫向擴展和感染，尤其是一個殭屍網絡病毒感染了一臺內網主機之後。

那麼殭屍網絡運營商在獲取了大量的殭屍主機（肉雞）後，他們會做些什麼？

主要有兩個方向：

1、通過肉雞本身盈利，例如大批量挖礦，或針對指定目標發起DDOS攻擊斂財，服務器勒索。
2、出售肉雞盈利

這裏就要提一下第二個方向。

如今的一些有攻擊策略的，擅長隱藏自身的APT組織(網軍)，都在想方設法在網絡側下功夫，這也就意味着會發生下面這個場景：

當安全分析人員在獲取到一個攻擊者域名時，發現該域名被某威脅情報源打標籤爲Mirai，也就是上面提到的殭屍網絡，大部分安全分析人員會如何處理？

報告給客戶，這是一個殭屍網絡病毒，不用分析了，按照網上的教程清除吧。

但是如果這是網軍從殭屍網絡運營商處購買肉雞，從而發起攻擊呢？

目前已知就有兩個組織是這麼幹的。

1、俄羅斯：2015年被發現 GameOver Zeus惡意軟件殭屍網絡背後的策劃者正在幫助俄羅斯情報部門從他感染的計算機上收集敏感文件。

2019年被美國發現 Dridex惡意軟件殭屍網絡的管理員與俄羅斯國家情報部門合作搜索敏感數據。

2、朝鮮[2]：

2019年，朝鮮網軍Lazarus 被曝與Trickbot合作，獲取殭屍主機作爲回連資源，其中有一個域名與該組織資產重疊。

也因此，奇安信威脅情報中心加大了對殭屍網絡的監控與分析，爲了防止網軍摻雜其流量進行攻擊，影響追蹤效果。

總結

物聯網 IoT引爆家電、家居、手機等多個行業，主要原因正是各項技術和各個企業的落地實踐越來越成熟。正如科幻大片中的場景，當大部分的東西都能被感知，人與物的溝通、物與物的協作更加順暢後，毫無疑問，智能家居將會成爲家電產業的第三戰場，帶來的不只是商業機會和增長點，還有更多的空間和舞臺，以及大量的殭屍主機。

顯而易見，新戰場將屬於物聯網IOT，在路由器，攝像頭，智能家居漏洞頻發的時代，你家裏的電冰箱都可能作爲攻擊源的一部分，這恰恰會成爲網軍在斑駁雜亂的流量中宛如一隻獵豹伺機而動，獵殺目標無形無蹤。

這與本文前面提到的殭屍網絡變種的進攻思路具備一致性，路由器，防火牆，IP攝像機，船舶管理系統，服務器管理實用程序，工業可編程邏輯控制器，在線支付系統等等這些涉及各行各業的工作必需系統出現在了大批量的攻擊列表中，這也恰恰體現了一種攻擊思路：廣撒網，精聚焦。

未來僵軍合作趨勢恐愈演愈烈，奇安信威脅情報中心將聚焦各行各業的定向性攻擊，挖掘未知威脅，更新防禦對策，抵禦相關攻擊的發起。

IOC

https://github.com/pan-unit42/iocs/blob/master/mirai/ECHOBOT_28thOct2019.md

參考鏈接：

[1] https://unit42.paloaltonetworks.com/mirai-variant-echobot-resurfaces-with-13-previously-unexploited-vulnerabilities/

[2] https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt/

*本文作者：奇安信威脅情報中心，轉載請註明來自FreeBuf.COM