NO.61 | 2019.11.29
banner
title有備而來 友善列印>>
【情資案例調查報告】變種殭屍網路Gafgyt _資通安全組

一、案例背景說明

  隨著網際網路上數量逐年增加的IoT設備,越來越多惡意程式將目標轉向這塊取之不盡的資源,進而導致殭屍網路呈現爆發性的成長。其中,影響最嚴重的殭屍網路家族不僅有Mirai惡意軟體,還有本次要探討的Gafgyt。

  Gafgyt是針對IoT設備進行感染的殭屍網絡,通常遭Gafgyt感染的IoT設備會立即進行網段掃描,再利用其弱密碼,以暴力破解或漏洞的方式嘗試入侵其他設備。 IoT設備因數量龐大、未修補漏洞多、用戶疏於管理等特性,成為Gafgyt殭屍網絡的攻擊重點[1]

二、案例研究說明

  研究人員針對Gafgyt惡意程式進行分析,發現C&C服務器大多分佈於北美和歐洲一些小型的VPS服務供應商(如圖1)。其中有部分供應商在資安管理方面幾乎沒有任何作為,導致用戶的安全得不到保障,故其不得不降低租金以吸引更多的用戶。惡性循環下,使更多駭客可用更低的金額架設惡意伺服器以進行威脅活動[2]
 

圖1:Gafgyt的C&C服務器分佈圖
(圖片來源:Paper)

  分析過程中發現,Gafgyt利用Telnet(port:23)協定對IoT設備進行暴力破解,並使其感染。從樣本中發現(如圖2),有多組預設帳號密碼可讓駭客對目標設備進行弱密碼攻擊,在成功登入的同時使用惡意語法植入Gafgyt,將其設備感染成殭屍主機(如圖3)。
 

圖2:破解IoT設備之帳號密碼清單
(圖片來源:本中心分析整理)
 
 

圖3:Gafgyt使用之Payload
(圖片來源:本中心分析整理)

  另也發現Gafgyt可針對指定網段進行大規模掃描,藉此擴增殭屍網路的規模,從圖4中可見攻擊者疑似為避免打草驚蛇,刻意避開某些重要機關的IP進行掃描。
 

圖4:Gafgyt規避掃描之網段
(圖片來源:本中心分析整理)

  當攻擊者確認殭屍主機已達可攻擊之數量時,便能發起如HTTP Flood、UDP Flood、TCP Flood...等多種類型的DDoS攻擊(如圖5)。
 

圖5:Gafgyt執行UDP Flood攻擊指令
(圖片來源:本中心分析整理)

  為避免同行競爭,Gafgyt會刪除IoT設備內已植入的惡意程式,確保每臺主機的DDoS攻擊不被影響(如圖6)。最後再清除設備中的惡意軌跡,拖延資安人員追查的時間(如圖7)。
 

圖6:Gafgyt刪除其他Bot惡意程式功能
(圖片來源:本中心分析整理)
 

圖7:Gafgyt自動滅證功能
(圖片來源:本中心分析整理)

三、駭客攻擊流程與手法

  圖8為本中心分析、整理駭客攻擊的流程與方式,攻擊步驟說明如下:
A.  遠端控制C&C Server進行攻擊
B.  利用Payload植入Gafgyt惡意程式
C.  刪除IoT設備內其他駭客安裝的Bot程式
D.  進行大範圍掃描,但規避部分單位的網段。
E.   使用弱密碼入侵更多IoT設備
F.   使用多種DDoS攻擊政府、私人企業、遊戲產業。
 

圖8:Gafgyt攻擊流程與方式
(圖片來源:本中心分析整理)

四、    Indicators of Compromise(IoCs)資訊

  本章節分享此惡意程式之入侵指標(Indicator of Compromise,IoC)檢測,包含關聯的SHA256、IP、SHA1、URL、MD5入侵指標以利各通訊傳播業者分析情資並加強資安防護,詳見表1~5。
 
編號
SHA256
1
c68df1212933973d2345bc4fea75c7a6e9d649a82c8c74bb183b7c602883dcf2
2
24432ff3e286ae0f54f1e2035ee51cb35703ed8c6f275a84b088e43be44fdcce
3
e2f757f21ebc365a648faf996ff29f1898b07f83090e9d206ef643236f30a0d4
4
d01d94cc121d0239a679b5065ef826d2ccc3710dc06fd725524442176a671ee1
5
25e87fc993bde597a582af84cb526dd4a18d3a9c19a1a564860e8a8d475be806
6
c9419fb9d3c75e871ea195da2930d1f55abad2a66c49edd3f9536f235470c3c4
7
b834ad70b51759c3709d65e178719aa104aeda9a13698626399f9614dc96b7c0
8
c66dbc5f606eb6dcde7b35e7218de6b25f8d921e0922e7cc9bbe8b95422683af
9
a33774dbb29ab238c19701c1a281a632bd364653accc70ad1ef4f7f3d0cabf7b
10
84449b0f8debd388237fa9a249c644ff24d80f996da3af29144b5476e1fca08e
11
e963a8c389d1963e04fddf621d2675e63fe68219f5c04ba1fca4ce0fe89a561e
12
8ad77677ede54107fde44314c20fe6e92b20b7887612a440b9fe7408c83c6313
13
6099ea93126cf35ea986090d799db3023af6127742baa94fc7a601509461ecb1
表1:Gafgyt殭尸網路關聯SHA256
(資料來源:本中心分析整理)
 
編號 關聯IP
1 112.27.88.117
2 218.29.14.117
3 111.38.27.80
4 112.27.88.133
5 111.38.9.115
6 111.38.26.165
7 111.38.9.114
8 60.179.71.40
9 77.93.33.36
10 122.246.147.109
11 152.253.84.17
12 112.27.88.109
13 59.126.94.226
14 111.38.25.95
15 69.123.128.52
16 111.38.13.187
17 111.38.26.173
18 119.62.109.125
19 122.246.146.236
20 112.27.89.38
21 125.115.149.192
22 112.27.91.185
23 171.250.244.60
24 173.15.162.145
25 42.234.83.25
26 112.27.91.233
27 42.238.155.18
28 113.183.55.65
29 60.179.70.207
30 115.214.251.235
31 61.53.5.44
32 115.214.62.28
33 77.54.144.247
34 115.217.227.13
35 95.5.4.113
36 115.217.81.81
37 115.49.142.162
38 159.100.19.63
表2:Gafgyt殭尸網路關聯IP
(資料來源:本中心分析整理)
 
編號 關聯SHA1
1 dc23e4b0fcfee702a4cb11914f8b745309cc31e4
2 9f7c2ca2d399c50daa172d2f6b105f1f407f012f
3 813037d9081ed1542a707bda521e8ba831f1a585
4 6dd078af53f3fbef7a75cdfe9902113f0e340103
5 d908ff7963632f40ab149cbd214bb002822fc8dc
6 a6bd412743591a15d80a3b82d00c6e71fc746234
7 70eab9c0961f84a2a227620d9f2cb41b0817622a
8 fdee12e8c6301e117b58d2c1951c6813d3d12d40
9 82db10ecbf0f971872ade3c92ec97cd96172eb89
10 dd842d679080c711b57dc0f06b390c3d201f6d31
11 4c9c605b1b28960e4659ef53e635c3e34cedad83
12 47da92784657970c701ccfdbff5dea28dbb2d45f
13 c86f7e0de0685c2684f58bc45673ffb5ddb6c765
表3:Gafgyt殭尸網路關聯SHA1
(資料來源:本中心分析整理)
 
編號 關聯URL
1 http://159.100.19.63/Demon.i586
2 http://159.100.19.63/Demon.ppc
3 http://159.100.19.63/Demon.m68k
4 http://159.100.19.63/Demon.sh4
5 http://159.100.19.63/Demon.mpsl
6 http://159.100.19.63/Demon.arm5
7 http://159.100.19.63/Demon.arm7
8 http://159.100.19.63/Demon.arm6
9 http://159.100.19.63/Demon.arm4
10 http://159.100.19.63/Demon.ms
11 http://159.100.19.63/Demon.i686
12 http://159.100.19.63/Demon.x86
13 http://159.100.19.63/Demon.sparc
14 http://23.254.230.38/p3n1s.sh
15 http://80.211.79.50/bins.sh
表4:Gafgyt殭尸網路關聯URL
(資料來源:本中心分析整理)
 
編號 關聯MD5
1 140bfe507072e7f42835bfe48cafffa9
2 3624e584fccac353aaf25570c7a0f181
3 42ee3e0afbca2931fbd870b52b4cab4c
4 1c25760339107058b6cf872dca9526df
5 47a85d95e8188dca5a2132c9740e53e6
6 a5d287868ce39221a311f840db6dc7a2
7 ff3c9a6a47ddf3a92d5170cb92a44715
8 0610ce1ff04fe634ed09e7537998a7c9
9 e3f336f89b137f5fd4c17387f510a142
10 12d06250415e08a87b9534ee528a9086
11 ab43143287d2b8360f72309dcd50160e
12 a0a2e23eff5ad4b28af1075664c3b7bc
13 64d3a5f1f209386db50e05af7df429a3
表5:Gafgyt殭尸網路關聯MD5
(資料來源:本中心分析整理)

五、整體建議與總結

  近年IoT殭屍網路發展快速,利用設備漏洞結合殭屍網路已是常見手法,以Mirai和Gafgyt兩個殭屍網路家族來說,變種版本經常搭配0 day漏洞進行攻擊,使IoT設備感染惡意程式淪為殭屍主機。

  近年DDoS攻擊流量從GB級迅速成長到TB級,很大原因是由於駭客感染大量IoT設備成殭屍主機。因此在市場需求和經濟利潤不斷增長的情況下,IoT設備不應該盲目的追求產品功能與開發進度,而是應該重視設備的資訊安全問題。

  為避免遭到駭客組織的攻擊,通傳業者可採取以下保護措施,避免系統遭受潛在威脅之攻擊,例如:
  1. 確認伺服器與企業防毒系統版本保持最新狀態,可降低被攻擊已知漏洞或病毒感染。
  2. 於資安防護架構中,針對需使用Telnet連線之IoT設備進行管理,應透過資安防護設備限縮其連線規則及來源;同時,除非有特殊連線需求,不要任意將設備開放至網際網路上。
  3. 應評估入侵威脅指標(IoCs)並納入防護監控規則,以強化資安防護設備之防禦能力。
  4. 設備的預設帳號密碼務必修改,避免弱密碼成為設備的資安漏洞。