网络 “冠状病毒” |东森平台ADLab联合CNCERT物联网宁静研究团队宣布最新研究陈诉

宣布时间 2020-03-27

概况

随着“新型冠状病毒肺炎”上升为全球性公共卫生突发事件，各国民众开启了“宅抗疫、云生活”模式。在非常时期，网络空间在人们的日常生活变得越发不行或缺，然而当各人都在奋力抗疫的同时，大量的黑客却开始以“冠状病毒”名义从事大规模的网络攻击活动，除了目前已经发现以冠状病毒为名进行的APT攻击、勒索病毒攻击之外，物联网领域中以冠状病毒为名的相关攻击也快速上升。

这些物联网“冠状病毒”样本以“Corona”（冠状的英文）、“covid”（冠状病毒英文缩写）命名，并利用物联网设备所存在的漏洞进行流传。我们通过监测数据发现，该类样本的数量与疫情生长泛起一定水平的相关性，好比进入3月份随着全球疫情连续升温，以“covid”命名的样本开始显著增多。

物联网“冠状病毒”样本统计分析

截止到2020年3月26日，我们的物联网威胁数据平台共捕捉到801个以冠状病毒命名的样本。我们针对这些物联网“冠状病毒”样本进行了仿真环境动态分析，样本的C&C上线漫衍情况如图1所示。

东森·(中国区)官方网站

图1 僵尸样本C&C上线漫衍

数据显示，这批物联网“冠状病毒”样本中共近90%的样本受控于位于美国的5个C&C服务器，7%位于俄罗斯，4%位于荷兰。其中有6个C&C服务器在疫情期间较为活跃，且关联的样本量较大，包罗X86、ARM、MIPS、PowerPC、SPARC、Renesas SH等多个平台的ELF文件。通过进一步的同源性分析，我们将这些样天职成两类，分别命名为Corona-A、Corona-B，后文将进一步探究它们的技术特点和所属家族。

这批“冠状病毒”样本的主要流传手段仍然是通过内置密码本进行Telnet密码爆破，部门样本利用到了“Redis 未授权代码执行”等多个已知漏洞利用进行流传。另外在我们溯源分析的过程中，发现相关组织近期利用最新的漏洞CVE-2020-9054[1]（Zyxel网络隶属存储（NAS）设备）开展攻击活动。据著名视察人员Brian Krebs的说法，该漏洞的相关POC在地下论坛被以2万美元的价格出售，同时也吸引了大量勒索软件攻击组织的兴趣（可能还与Emotet有关）。由于漏洞的严重性，美国CERT/CC将该漏洞定为CVSS10分。

表1 样本流传利用的设备漏洞

东森·(中国区)官方网站

技术分析

1、Corona-A类样本技术分析

在对Corona-A类样本进行整体分析后，我们发现其中的变种虽多，但种种样本间的相似度很高，故以近期活跃的C&C (192[.]3[.]193[.]251)为例，对关联样本进行逆向分析，其多种架构的样本均被命名为“Corona”。

东森·(中国区)官方网站

图2 Shell脚本

僵尸法式运行后，首先绑定当地端口0x22B8（8888端口），连接C&C地址为：192[.]3[.]193[.]251:20。

东森·(中国区)官方网站

图3 监听当地端口

通过ensure_bind函数确保样本法式只存在单实例运行。

东森·(中国区)官方网站

图4 检查单实例运行

执行botkiller�？橐郧宄渌嬖诰赫闹髁鹘┦ㄊ�。

东森·(中国区)官方网站

图5 执行botkiller�？�

需清除的僵尸家族和关联字符串如下图所示：

东森·(中国区)官方网站

图6 清除的目标家族及关联字符串

恶意代码中多处硬编码了“Corona”要害词，包罗上线数据包和连接中断的输出显示（僵尸服务端可能将“Corona”作为通信协议识此外要害特征）。

东森·(中国区)官方网站

图7 硬编码“Corona”要害词

上线包及C&C回复包通信流量如下图所示：

东森·(中国区)官方网站

图8 TCP通信流量

样本的proc_cmd()函数包罗DDoS攻击�？�，其融合了多种常见的攻击模式，包罗UDP、VSE、HTTP、TCP、STD、XMAS等。同时在针对该C&C监控的过程中，我们发现其近期发动的DDoS攻击活动较为频繁，主要目标为欧美国家，部门攻击示例如下图所示：

东森·(中国区)官方网站

图9 攻击情况示例

基于样本的代码结构、函数命名、通信流量、攻击模式等特征，可以发现Corona-A类样本与Gafgyt家族的相似度很高，黑客虽对通信数据等内容包装了“新冠”看法，但代码在整体上仍与Gafgyt家族相近，可以认为是Gafgyt家族的变种。Corona-A的其它类型样本也同样基于Gafgyt进行修改，在此不做赘述。

2、Corona-B类样本技术分析

Corona-B类恶意样本的代码相较Corona-A更为庞大，且大部门样本进行了符号剥离，对逆向分析会发生较大滋扰。但是黑客百密一疏，在大量样本中，依然存在个体arm架构的样本包罗符号，可供研究分析。通过进一步的视察，我们发现Corona-B类样本间的差异较大，可以细分为变种Corona-B-1和变种Corona-B-2进行分析。

? Corona-B-1

Corona-B-1的关联C&C为45[.]84[.]196[.]75，相关样本占捕捉总量的64%，是目前发现样本量最大的物联网“冠状病毒”，近一个月时间内迭代了多个版本。在溯源分析的过程中，我们发现相关组织近期利用Zyxel网络隶属存储（NAS）设备的最新漏洞CVE-2020-9054开展攻击活动，相关入侵流量如下图所示：

东森·(中国区)官方网站

图10 漏洞入侵流量

CVE-2020-9054漏洞是网络产物供应商Zyxel近期修复的一个严重的远程代码执行漏洞，漏洞影响多款NAS设备，攻击者可以通过weblogin.cgi组件触发命令注入并加载恶意代码。

攻击乐成后会执行shell脚本下载差异架构的僵尸样本。

东森·(中国区)官方网站

图11 执行shell脚本

此类恶意样本也曾以“corona”作为后缀名进行下载流传。

东森·(中国区)官方网站

图12 “corona”后缀样本

通过进一步的分析确认，Corona-B-1是Mirai家族的新变种Mukashi，虽然代码未集成漏洞利用�？�，但黑客有很大可能在利用CVE-2020-9054漏洞进行攻击并流传恶意样本，需要引起各方重视。

Corona-B-1与其它Mirai家族差异的是，其在初始化�？橹�，并未接纳通例的xor加解密，而是使用了自界说的解密模式。其差异版本的解密算法相同，但预置加密字符串差异，初始加密字符串示例如下图所示。

(样本ad61c361f76026e0b0c1ff1bc62b52e7) :

东森·(中国区)官方网站

图13 初始加密字符串

解密后的命令和字符串会存储到Table中供后续使用，对应信息如下表所示：

表2 解密后的命令和字符串

东森·(中国区)官方网站

Corona-B-1的扫描�？閟canner_init则同Mirai家族的大多数变种一样，接纳Telnet爆破，并使用差异的默认凭据组合进行登录。

东森·(中国区)官方网站

图14 扫描流量

一旦Telnet爆破乐成则会以“<host ip addr>:23 <username>:<password>”的格式将信息提交给C&C。

同时，Corona-B-1会试图发送命令执行一些操作，如“system”、“shell”等默认命令， Corona-B-1在此处新增了"/bin/busybox CORONA"命令，可以进一步执行busybox中的恶意代码部件。

东森·(中国区)官方网站

图15 “CORONA”命令

值得注意的是，Corona-B-1在最新的代码中删除了对该命令的后续处置，前期版本通过recv()函数来接收和判断回显信息（如若CORONA命令不存在，busybox将返回“CORONA: applet not found”）。

东森·(中国区)官方网站

图16 新旧版本命令处置对比

在攻击模式方面，Attack_parsing()函数卖力处置与C&C服务器的命令交互，具体的控制指令数组由初始解密得到。

东森·(中国区)官方网站

图17 控制指令选择

下表为Corona-B-1支持的C&C控制指令。

表3 C&C控制指令

东森·(中国区)官方网站

其中，Corona-B-1配置了部门绕过DDOS防御的攻击模式，例如UDP bypass,TCP bypass，这些技术最早来自于Mirai的Dvrhelper变种，也表明Corona-B-1可能继承借鉴了Dvrhelper变种的部门代码。

?Corona-B-2

Corona-B-2的关联C&C为64[.]227[.]17[.]38，攻击者将多种架构的恶意样本命名为“covid”。值得注意的是，近期其恶意代码功效的更新迭代非常频繁。

东森·(中国区)官方网站

图18 服务器恶意代码更新情况

Corona-B-2样本包罗Telnet爆破、反GDB调试、禁用看门狗(watchdog)等�？楣π�，相较于Corona-B-1，Corona-B-2更接近于原生的Mirai家族。通过进一步比对，其复用了Mirai的大部门代码，但初始化�？楹凸セ髂？橛兴浠�。

初始化�？椋╰able_init）的table_key与Mirai的默认配置差异（Corona-B-2的table_key为0xDEDEFBAF），相关加密数据可以通过Mirai源码中的tools/enc.c�？榻薪饷�。

攻击�？椋╝ttack_init）共组合了13种攻击方式，通过Bindiff进行新旧版底细似性比对后，我们发现黑客组织在连续增加和更新样本的攻击�？�。

包罗：

attack_method_nudp

attack_method_udphex

attack_method_udpdns等。

也表明该组织近期的攻击欲望较强。

东森·(中国区)官方网站

图19 新旧版本代码相似性比力

综合以上对物联网“疫情样本”的分析，多种恶意代码最终都定位到了Gafgyt和Mirai家族的变种，说明这两类广泛流传的家族仍是大量黑客开发新型物联网僵尸的首选。同时从命名习惯、攻击目标、服务器归属地等因素综合判断，这批攻击者大概率会是境外的黑客组织。

相关样本的家族归类整理如下图所示：

东森·(中国区)官方网站

图20 样本家族归类

受攻击IP漫衍

凭据我们的监测数据，目前境内受到物联网“冠状病毒”攻击的设备IP凌驾22万，主要位于中国境内（96.8%）。其中国内主要漫衍于广东�。�15.4%）、浙江�。�14.2%）、北京市（13.7%）、江苏�。�10.0%）等。境内受攻击IP漫衍图如下所示：

东森·(中国区)官方网站

图21 受攻击IP位置漫衍图

总结

通过以上分析可以看出，物联网“冠状病毒”的扩散和全球疫情生长有着一定的相关性。技术上，其大部门还是接纳了经典的物联网病毒Gafgyt和Mirai家族的攻击�？�，但是其流传的默认手段依然是Telnet爆破，部门新的样本开始结合一些新发现的漏洞进行扩散流传。此外，为了更有效的独占设备资源，物联网“冠状病毒”还加强了对其它主流僵尸竞争对手的防控和扑杀，可以杀掉50多种类型的物联网僵尸进程。一些样本还接纳了自界说的加解密�？�，并不停在攻击�？橹腥诤闲碌墓セ骼嘈�。

该批物联网“冠状病毒”攻击手法和特点来看并没有太多新奇的工具，但是通过利用现实世界的真实事件来扩散恶意攻击这一思路必将会恒久存在。对新漏洞的武器化依然是物联网黑客们的重点关注偏向。黑客从服务器、PC、智能手机，扩展向摄像头、路由器、NAS、家居安防系统、智能电视、智能穿着设备，甚至是婴儿监视器，任何互联网连接的设备都不会放过，这也是恒久以来物联网恶意代码保持多平台兼容的原因。物联网的威胁对于普通管理员来说是很难察觉的，就像处于潜伏期的受熏染者一样，无法及时防御和清除。最后，在疫情之下，我们更应该警惕别有用心的物联网“冠状病毒”大幅扩散，争取早日战胜疫情，战胜病毒。因此我们建议用户：

( 1 ) 及时更新升级物联网设备固件；

( 2 ) 尽快更换设备厂商初始密码，注意制止空口令或弱口令；

( 3 ) 如无须要，尽可能不要将产物直接袒露在互联网上，如必须联网，可将设备连接到宁静路由器或防火墙，进行更多的防护；

( 4 ) 加强网络界限入侵防范和管理，关闭非须要的网络服务和端口，如SSH（22）、Telnet(23)、HTTP/HTTPS （80、443）等。

IOC样例

东森·(中国区)官方网站

本陈诉由CNCERT物联网宁静研究团队与东森平台ADLab联合宣布

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

网络 “冠状病毒” |东森平台ADLab联合CNCERT物联网宁静研究团队宣布最新研究陈诉

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线