僵尸蜜网：首款具备诱捕及反探测能力的物联网僵尸网络

颁布功夫 2020-07-24

一、概述

近期，，，，，，，我们跟踪到一路出格的物联网僵尸网络攻击事务。。。。。。。。该攻击事务近3个月来对中国、美国、俄罗斯、德国等多个国度发起了较为频仍的攻击。。。。。。。。这批攻击固然流量并不大，，，，，，，但在追踪的过程中发现，，，，，，，这批攻击中存在一些VT查杀率为0的恶意样本，，，，，，，如图1所示；；；；；；；；并且还发现该僵尸网络的很多节点别致地参与了诱捕及反探测能力。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图1：VT检测情况

这些僵尸样本能够将受控设备的指纹信息假装成其他设备的指纹（目前仅发现DVR的伪造指纹，，，，，，，揣摩黑客能够通过更新模浚浚浚浚�？？槔次痹炱渌璞钢肝疲�。。。。。。。。一方面以伪造设备指纹的方式来糊弄如Shodan等各类缝隙扫描产品，，，，，，，以达到反探测的主张；；；；；；；；另表一方面这种伪造的设备指纹也被利用来做诱捕，，，，，，，如假装成为一个存在缝隙的设备，，，，，，，以蜜罐诱捕的方式诱使其他黑客发送利用代码进行攻击，，，，，，，从而得到缝隙利用细节。。。。。。。。因而，，，，，，，我们将此类僵尸所构建的能够对缝隙和攻击样本进行诱捕的僵尸网络定名为“僵尸蜜网”。。。。。。。。

通过我们自己的物联网威胁数据平台及有关谍报的交叉印证，，，，，，，发现“僵尸蜜网”蕴含两类样本。。。。。。。。第一类是诱捕与反探测节点，，，，，，，对该样本进行二进造文件类似度比对发显熹攻击模浚浚浚浚�？？楹屯ㄑ逗吞赣隡oobot家族高度类似，，，，，，，揣摩与Moobot家族同源，，，，，，，因而将这类新型的恶意法式定名为Moobot_Trap，，，，，，，其借鉴了蜜罐的设计思想，，，，，，，除了假装自身为其他设备表，，，，，，，还能通过诱捕其它攻击者的缝隙利用谍报与攻击样本，，，，，，，来矫捷急剧的升级其兵器库，，，，，，，加强自身的攻击与防御能力。。。。。。。。第二类是构建代理网络的恶意代理节点，，，，，，，我们将其定名为Mal_Proxy，，，，，，，通过下发恶意代理模浚浚浚浚�？？椋�，，，，，，攻击者可能将受习染或购置的设备作为新节点来代理肆意流量，，，，，，，进而不休发展壮大其代理网络。。。。。。。。恶意流量经代理网络中转至Tor网络或真实C&C，，，，，，，一方面能够预防直接露出身份，，，，，，，另一方面也能更好的穿透某些网络防火墙的限度。。。。。。。。通过目前把握的数据结合物联网僵尸样本的分析，，，，，，，我们还原出了该僵尸网络的攻击模型如图2所示：

8827太阳集团(Macau)股份有限公司-Official website

图2：”僵尸蜜网“攻击模型

进一步溯源后，，，，，，，我们发现这次攻击背后的组织可能同使仄控着蕴含Moobot、LeeHozer、Gafgyt变种在内的多个僵尸网络。。。。。。。。该组织不仅拥有多种0Day和Nday缝隙攻击的能力，，，，，，，还善于通过代理网络、Tor网络等代理技术来加强通讯的匿名化，，，，，，，从而提高其C&C服务器的荫蔽性。。。。。。。。本文将对捕获到的僵尸样本、恶意代理法式及其攻击链进行分解，，，，，，，并进一步对背后的黑客组织以及这些僵尸网络间的关联性发展分析和追踪。。。。。。。。

二、攻击资源分析

在追踪过程中，，，，，，，我们发现“僵尸蜜网”与多个僵尸网络间存在较强的关联性，，，，，，，蕴含Moobot、LeetHozer以及Gafgyt变种等等。。。。。。。。以Moobot和LeetHozer两类僵尸网络为例，，，，，，，proxy.2u0apcm6ylhdy7s.com域名曾作为Mal_Proxy的Downloader URL以及Moobot的C2；；；；；；；；elrooted.com有关子域名曾用于Mal_Proxy的C2以及Moobot、LeetHozer的Downloader URL，，，，，，，类似域名资产沉用的景象，，，，，，，批注两类僵尸很有可能源自统一组织。。。。。。。。我们整顿了关联样本的传布和执行流程如图3所示：

8827太阳集团(Macau)股份有限公司-Official website

图3：关联样本的传布和执行流程图

其中，，，，，，，Moobot是样本数量最多且持续活跃的一类僵尸，，，，，，，我们发现的具备诱捕及反探测能力的Moobot_Trap就是其同源家族。。。。。。。。同时，，，，，，，由于Moobot前期传布的样本涉及Socks和Tor版本，，，，，，，也可能与这次发现的恶意代理法式有关。。。。。。。。LeetHozer僵尸则是通过Socks5和谈和Tor C&C成立衔接，，，，，，，且与Mal_Proxy的活跃功夫相近，，，，，，，揣摩LeetHozer内置的代理节点列表很大可能就是黑客节造的恶意代理网络。。。。。。。。

凭据目前的监测情况，，，，，，，该组织单日提议的攻击次数约在100次左右，，，，，，，被攻击指标则重要散布在中国、美国、俄罗斯、德国等国度，，，，，，，其中针对我国的攻击大多集中在新疆、河南、江苏、台湾等地域，，，，，，，攻击纪录示例如图4：

8827太阳集团(Macau)股份有限公司-Official website

图4：攻击纪录

8827太阳集团(Macau)股份有限公司-Official website

图5：境内受攻击IP地位散布图

此表，，，，，，，该组织还具备很强的缝隙利用能力，，，，，，，已知的兵器库蕴含今岁首披露的LILIN DVR 0Day缝隙、HiSilicon DVR backdoor 0Day缝隙，，，，，，，以及诸多影响领域宽泛、风险严沉的Nday缝隙，，，，，，，一些被公开的缝隙POC也往往会被迅速集成并利用于其缝隙扫描模浚浚浚浚�？？椋�，，，，，，思考到黑客还能够通过假装的诱捕节点网络其它攻击者的谍报及样本情况，，，，，，，我们估计其可用的缝隙资源极度重大。。。。。。。。通过目前监测发现及有关汇报中披露的缝隙利用情况，，，，，，，该组织利用的缝隙如表1所示：

表1：缝隙利用列表

8827太阳集团(Macau)股份有限公司-Official website

在域名资产方面，，，，，，，该组织使用功夫较长、频次较高的域名为elrooted.com、2u0apcm6ylhdy7s.com以及顶级域名.xyz下的部门域名。。。。。。。。这三类域名下的子域名持久被解析并用于其样本的DownloaderURL或C&C。。。。。。。。其中，，，，，，，185.172.110.0/23网段关联着大量僵尸，，，，，，，例如185.172.110.240、185.172.110.224、185.172.110.235等等。。。。。。。。

基于目前把握的情况，，，，，，，我们总结该组织的特点如下：

● 该组织可能掌控着蕴含Moobot、LeeHozer、Gafgyt_variant在内的多个僵尸网络，，，，，，，攻击指标遍布全球，，，，，，，且近期仍在维持高频率的攻击活动

● 把握着代理网络资源，，，，，，，与其它使用代理网络的僵尸存在肯定关联，，，，，，，且可能在地下论坛销售代理接见权限

● 善于0DAY、NDAY缝隙利用

● 善于使用Socks5代理、Tor网络等C&C暗藏技术

● 样本扫描模浚浚浚浚�？？樯⒉荚诙嘀盅局泻献魃瑁�，，，，，，扫描效能高

● 样本具备诱捕及反探测能力，，，，，，，可能捕获其它黑客的攻击谍报

● 具备肯定的安全匹敌能力，，，，，，，样本迭代更新快、免杀性好，，，，，，，频仍更换UPX幻数壳、更新敏感信息加密算法及通讯和谈等

三、攻击样本分析

由于该组织占有着两类僵尸节点（诱捕与反探测节点、代理节点），，，，，，，我们也将沉点对这两类节点有关的样本进行分析。。。。。。。。第一类样本为Moobot_Trap，，，，，，，其假装成为DVR实现诱捕与反侦测的职能；；；；；；；；第二类样本为实现反追踪并与Tor网络对接的Socket5代理节点，，，，，，，蕴含恶意样本Mal_Proxy和LeeHozer。。。。。。。。

3.1Moobot_Trap分析

Moobot_Trap僵尸是一个职能齐全的僵尸法式，，，，，，，其职能蕴含诱捕监测以及反探测、缝隙扫描、DDos攻击。。。。。。。。通过样本的类似度比对，，，，，，，我们最终确定Moobot_Trap与Moobot家族同源，，，，，，，其攻击代码和通讯和谈拥有高度的类似性。。。。。。。。Moobot僵尸自2019年下半年起头活跃，，，，，，，其持久利用缝隙进行扩散与习染，，，，，，，该僵尸选取一种分散扫描的方式进行攻击，，，，，，，即不将所有缝隙扫描方式集成在单个样本内，，，，，，，而是将各类缝隙散布在多类Bot样本中，，，，，，，以提高扫描效能降低被发现的几率。。。。。。。。Moobot_Trap也一连此种特点，，，，，，，但其最沉要扭转是参与诱捕和反探测能力，，，，，，，其在受习染设备上开启一个mini_httpd服务，，，，，，，并假装成DVR设备，，，，，，，一方面用于诱捕缝隙和攻击样本，，，，，，，一方面能够糊弄各类设备探测平台。。。。。。。。

具体分析样本如表2所示：

表2：样本信息

8827太阳集团(Macau)股份有限公司-Official website

3.1.1 诱捕与反探测模浚浚浚浚�？？榉治�

该模浚浚浚浚�？？槲耸迪钟詹吨澳埽�，，，，，，将自动开启WEB服务端口(80、8080、8000)与数据库HSQL的服务端口(9002)，，，，，，，一旦收到表界的http和谈的扫描探测，，，，，，，便会返回假装的设备指纹。。。。。。。。目前发现的Moobot_Trap将受控设备假装成DVR设备，，，，，，，不外黑客能够通过更新模浚浚浚浚�？？槔吹骰恢肝菩畔�。。。。。。。。此表该模浚浚浚浚�？？榛箍赡芗嗫乇斫缍愿蒙璞阜⑵鸬墓セ鞑⒔セ餍畔⑸媳ǜ诳驮は劝膊宓腃&C服务器上，，，，，，，以此黑客能够获取到缝隙扫描特点和攻击样本。。。。。。。。

( 1 ) 反探测：目前最为主流的设备探测技术依然是基于指纹实现的，，，，，，，如Shodan、ZoomEye、Censys以及各类缝隙扫描产品，，，，，，，因而Moobot_Trap还提供一类能力就是给扫描源提供伪造的信息，，，，，，，以糊弄扫描引擎做出谬误的决策。。。。。。。。一则Moobot_Trap能够将自身假装成为一个坚不成摧的设备，，，，，，，让扫描引擎以为这是一台安全的设备而降低被发现的几率；；；；；；；；一则Moobot_Trap也能够将入侵的设备假装成为一个存在新公开缝隙的设备，，，，，，，其能够起到诱捕一些未公开的缝隙利用代码。。。。。。。。在我们当前所发现的僵尸网络中，，，，，，，其中被入侵的任何一台设备都将被鉴别成为一个提供mini_httpd服务的DVR设备(用于诱捕Mini_httpd1.19有关的缝隙利用代码)。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图6：扫描指纹示例

Mini_httpd是一款微型的Http服务器，，，，，，，在占用系统资源较幼的情况下能够维持肯定水平的机能，，，，，，，因而宽泛被各类物联网设备（路由器，，，，，，，互换器，，，，，，，摄像优等）作为嵌入式服务器使用。。。。。。。。而蕴含华为、海浚浚浚浚�？？低印yxel、树莓派等厂商的旗下设备都曾选取Mini_httpd组件，，，，，，，影响领域很广，，，，，，，有关缝隙可能影响全球数百万设备。。。。。。。。所以黑客此类新鲜的技术思路使用也必要引起我们足够的器沉。。。。。。。。

( 2 ) 诱捕：我们知路，，，，，，，现实网络中存在大量蠕虫和僵尸网络，，，，，，，他们永不间断地扫描探测网络资源，，，，，，，同时他们也在实时更新其探测特点，，，，，，，如黑客们的0day/Nday缝隙扫描特点。。。。。。。。而大部门可用于蠕虫和僵尸传布的物联网缝隙都集中在HTTP服务的远程号令执行缝隙(占比更多的Telnet类攻击以弱口令为主，，，，，，，此处不表)。。。。。。。。该恶意模浚浚浚浚�？？檎且曰袢〈死喾煜豆セ餍形髡牛�，，，，，，在启动端口上监督wget、tftp、/bin/sh号令，，，，，，，网络缝隙信息和传布样本。。。。。。。。下图是一个远程号令执行缝隙的Payload：

8827太阳集团(Macau)股份有限公司-Official website

图7：扫描Payload示例

当某些攻击者、蠕虫或者僵尸法式针对受习染设备进行缝隙扫描或代码植入时，，，，，，，一旦攻击Payload中携带有指定数令（如图中的wget）时，，，，，，，该数据即被视为有效谍报被转发至Moobot_Trap黑客的C&C。。。。。。。。通过这种类似蜜罐的监测技术，，，，，，，黑客能够捕获到大量缝隙利用代码，，，，，，，甚至是0day缝隙，，，，，，，更进一步，，，，，，，还可能通过传布的僵尸样正本提取和钻研更多有价值的缝隙或技术。。。。。。。。

从上面的分析我们还能够看出，，，，，，，若是黑客组织具备足够的技术实力，，，，，，，还能通过捕获的扫描信息获取到其它僵尸网络的Download IP或C&C并进一步执行入侵。。。。。。。。通常情况下攻击者的好多服务器都来自缝隙入侵、Telnet爆破等等，，，，，，，那么这些服务器资产就很有可能被黑客组织二次入侵，，，，，，，原节造者占有的肉鸡资源也可能被共享或收受。。。。。。。。下文我们将对Moobot_Trap进行分析与论述。。。。。。。。

Moobot_Trap首先会在80、8080、8000、9002四种端口中随机选择其一成立服务端监听，，，，，，，能够以为黑客的指标就是网络这四类端口的扫描数据。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图8：选择端口成立监听

当攻击者扫描相应端口且发送的要求数据蕴含wget、tftp、/bin/sh号令时，，，，，，，Moobot_Trap会返回伪造的mini_httpd服务器信息并将要求数据转发给C&C，，，，，，，之后关关与客户端的衔接（模拟HTTP无衔接要求）。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图9：返回mini_httpd服务器信息

衔接C&C则是加密存储在内存中（敏感信息加密将在后续章节分析）。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图10：转发数据

模拟一次扫描的现实情况，，，，，，，当攻击者针对诱捕节点进行缝隙扫描时，，，，，，，交互流量数据包如图11所示：

8827太阳集团(Macau)股份有限公司-Official website

图11：交互数据包

Moobot_Trap检测到wget号令时，，，，，，，会鉴别为有效谍报，，，，，，，并将扫描信息以如下的大局上报至C&C。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图12：上报扫描数据

上报数据体式如表3所示：

表3：上报数据体式

8827太阳集团(Macau)股份有限公司-Official website

3.1.2 敏感信息加密

加密数据并非整段存储在代码中，，，，，，，而是将字符串常量宰割成多个部门存放在rodata和text段，，，，，，，这也会给分析工作造成肯定的滋扰。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图13：加密字符串

具体加解密算法与Mirai一样，，，，，，，密钥为0x0deadbeef，，，，，，，所有字符串的使用都是用时解密，，，，，，，用完即复原加密，，，，，，，加解密算法如图14所示：

8827太阳集团(Macau)股份有限公司-Official website

图14：加解密算法

3.1.3 端口扫描和信息上报

Moobot扫描模浚浚浚浚�？？檠∪∪瑁�，，，，，，并将扫描了局上报Reporter，，，，，，，最后由Loader针对缝隙设备植入样本，，，，，，，汗青上其存在多种扫描版本：

( 1 ) TCP:23,26 (Telnet)

( 2 ) TCP:34567 (DVRIP)

( 3 ) TCP:4567(TVT)

( 4 ) TCP:5555 (ADB)

( 5 ) TCP:80,81,82,83,85,88,8000,8080,8081,9090,60001 (HTTP)

对于扫描http服务的样本，，，，，，，若是检测到如下Http Server则会上报Reporter。。。。。。。。样本解密后用于检测的服务器字符串示例如下：

"Server: JAWS/1.0."

"Server: DWS."

"URL=/view/viewer_index.shtml?id=."

"Server: thttpd/2.25b PHP/20030920."

"Server: Boa/0.93.15."

这些分歧扫描种类的样本的DownloaderURL通常也是以对应缝隙设备的名称来定名和分类，，，，，，，例如：

表4：DownloadURL特点

8827太阳集团(Macau)股份有限公司-Official website

对于扫描使用的爆破凭证，，，，，，，除了部门内置列表，，，，，，，还能够向C&C发送要求指令以获取爆破名称密码列表，，，，，，，要求值分歧对应分歧的爆破组合值。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图15：返回爆破组合

当扫描发现可用缝隙设备则会向Reporter上报设备信息。。。。。。。。

图16：上报设备信息

表5：上报设备信息解析

8827太阳集团(Macau)股份有限公司-Official website

3.1.4 通讯和谈及攻击模浚浚浚浚�？？�

Moobot_Trap在通讯和谈方面与之前的版本有所变动，，，，，，，成功成立衔接后，，，，，，，首先会向节造端发奉上线包。。。。。。。。

图17：上线数据包

表6：上线数据包解析

8827太阳集团(Macau)股份有限公司-Official website

之后距离60秒循环向节造端发送心跳包[0x00 0x00]（固定值），，，，，，，节造端则距离20秒向僵尸法式回包[0x33 0x66 0x99]（固定值）。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图18：心跳数据包

当节造端发送的指令前三字节非[0x33 0x66 0x99]时，，，，，，，则进入攻击模式解析指令。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图19：解析攻击

攻击模浚浚浚浚�？？榉矫妫�，，，，，，Moobot_Trap延用了Mirai的攻击大局，，，，，，，样本蕴含7种攻击模式。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图20：攻击模式

攻击指令数据包如图21所示：

对应结构体示意如下：

type Attack struct {

Duration uint32

Type uint8

Targets counts uint8

Targets map[uint32]uint8

Flags counts uint8

Flags map[uint8]string

}

表7：攻击指令解析

8827太阳集团(Macau)股份有限公司-Official website

3.2Mal_Proxy分析

Mal_Proxy是黑客组织用于构建代理网络的主题模浚浚浚浚�？？椋�，，，，，，其能够提供代理服务以及信息上报职能。。。。。。。。该模浚浚浚浚�？？榍岜憬媒荩�，，，，，，攻击者能够通过参数配置代理服务，，，，，，，法式启动后受控设备即作为代理节点参与到代理网络中，，，，，，，为黑客的恶意活动提供隐匿�；；；；；；；；�。。。。。。。。

Mal_Proxy存在两个版本，，，，，，，V1版本C2为cest4.elrooted.com，，，，，，，V2版本C2则蕴含hxarasxg.hxarasxg.xyz和da.elrooted.com。。。。。。。。其中V2版本增长了参数启动、Socks5和谈认证模式及UPX壳，，，，，，，并批改了壳的幻数（现实幻数0xBC7A3331）以匹敌剧本脱壳。。。。。。。。Mal_Proxy样本均被剥离符号且未留下任何与代理有关的字符串、特点等信息，，，，，，，注明该组织具备肯定的安全匹敌经验，，，，，，，有意给分析人员造作更多的难题，，，，，，，也使得Mal_Proxy维持了极度好的免杀性。。。。。。。。

后文以V2版本为例进行具体分析，，，，，，，并会穿插一些V1版本的对比，，，，，，，样本信息如表8所示：

表8：样本信息

8827太阳集团(Macau)股份有限公司-Official website

3.2.1 参数启动模式

Mal_Proxy V1版本并不具备参数启动模式，，，，，，，其代理端标语是通过功夫戳推算出的随机值得到（端口领域：0至65535）。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图22：V1版本获取随机端口

Mal_Proxy V2版本则增长了参数启动模式，，，，，，，从而能够越发矫捷的配置代理端口以及Socks5和谈的用户名/密码认证模式。。。。。。。。参数启动共蕴含三种号令参数，，，，，，，号令大局为：

Mal_Proxy -pport -u user -P password

其中-p为指定的代理绑定端口，，，，，，，-u、-P为配置用户名/密码认证模式，，，，，，，如不配置默以为无需认证方式。。。。。。。。

V2版本无参启动会默认绑定本地28105端口，，，，，，，并以无需认证的方式执行法式。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图23：参数启动

法式执行后会在分歧阶段Fork多线程，，，，，，，并通过分歧线程执行相应的职能模浚浚浚浚�？？椋�，，，，，，蕴含信息上报模浚浚浚浚�？？楹痛矸衲？？？？？？？�。。。。。。。。

3.2.2 信息上报模浚浚浚浚�？？�

V2版本的信息上报模浚浚浚浚�？？橥直嬗胁魏臀薏瘟街帜Ｊ剑�，，，，，，具体上报信息同参数内容有关。。。。。。。。而V1版本仅有一种上报方式，，，，，，，即V2版本的无参模式。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图24：V1版本信息上报

8827太阳集团(Macau)股份有限公司-Official website

图25：V2版本两类信息上报方式

无参上报数据包：

8827太阳集团(Macau)股份有限公司-Official website

图26：V2版本无参上报数据包

有参上报数据包：

图27：V2版本有参上报数据包

表9：V2版本上报数据包解析

8827太阳集团(Macau)股份有限公司-Official website

法式每距离300秒循环向hxarasxg.hxarasxg.xyz:38129发送心跳包上报参数信息。。。。。。。。同时法式模拟了域名查问要求，，，，，，，通过公共服务DNS（8.8.8.8）来自行解析IP，，，，，，，从而预防hosts或resolv.conf被篡改或劫持造成的DNS查问异常。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图28：V2版本信息上报

3.2.3 代理服务模浚浚浚浚�？？�

代理模浚浚浚浚�？？橄叱淌紫然岚蠖ḿ嗵镜刂付ǘ丝冢ù矶丝冢�，，，，，，并通过listen、accept等操作函数来创建监听并接管客户端要求。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图29：绑定监听代理端口

之后世理模浚浚浚浚�？？榛峤徊秸攵钥突Ф说囊蠼信卸虾托Ｑ椋�，，，，，，例如针对0x05 0x01 0x00 0x03内容的校验，，，，，，，实则为Socks5和谈认证阶段的握手过程，，，，，，，进一步分析后能够确认该模浚浚浚浚�？？槭腔赟ocks5和谈的恶意代理法式服务端。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图30：Socks5和谈校验

3.2.4 Socks5和谈介绍

Socks5是一种网络传输和谈，，，，，，，重要用于客户端与表网服务器之间通讯的中央传递。。。。。。。。此和谈并不掌管代理服务器的数据传输环节，，，，，，，而是在 C/S 两端真实交互之间，，，，，，，成立起一条从客户端到代理服务器的授信衔接。。。。。。。。浚浚浚浚�？？突Ф耸紫缺匾头穸私形帐秩现ぃ�，，，，，，能够选取用户名/密码认证或者无需认证方式，，，，，，，握手成功后即可进入数据传输阶段，，，，，，，和谈道理如图31所示：

8827太阳集团(Macau)股份有限公司-Official website

图31：Socks5和谈道理

以某次通过Socks5代理传输的攻击指令为例，，，，，，，在已经借助代理和谈成立衔接的情况下，，，，，，，C&C下发的攻击指令经代理网络（54.188.198.118:9090）中转后传输到Bot，，，，，，，此时捕获的流量是无法获取到真实C&C地址的，，，，，，，在肯定水平上能够达到暗藏C&C的主张。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图32：代理传输攻击指令流量

从另一个角度思考，，，，，，，Socks5和谈固然在传输阶段拥有暗藏C&C的成效，，，，，，，但其作为通明代理并不具备加密职能，，，，，，，认证和衔接阶段也并不安全。。。。。。。。若是可能嗅探协商握手阶段的数据流量，，，，，，，依然可能解析并获取到样本衔接的真实C&C。。。。。。。�；；；；；；；；谡庑┰颍�，，，，，，一些黑客还会进一步利用Tor 网络来加强隐匿性，，，，，，，由于Tor网络每一条通讯链路都由若干随机拔取的Tor节点组成，，，，，，，且通讯数据进行了多层加密，，，，，，，即便获取到Tor C&C也难以溯源到暗藏的真实服务器，，，，，，，所以在隐匿性方面Tor网络是更好的选择。。。。。。。。当然Tor网络也有其短处，，，，，，，由于衔接的复杂性，，，，，，，Tor网络的传输速度和成功率往往难以保障。。。。。。。。综合而言，，，，，，，思考到现实情况中监听受控服务器代理客户端到代理服务器的全数流量是极度难题的，，，，，，，所以无论是通常代理网络，，，，，，，还是进一步使用Tor网络都可能在肯定水平上为僵尸网络提供充足的隐匿�；；；；；；；；�。。。。。。。。

3.3LeeHozer分析

LeeHozer是一类借助Socks5和谈与Tor C&C通讯的新型僵尸家族，，，，，，，其设计了相对严谨而复杂的通讯和谈。。。。。。。。由于样本下载地址(http://exec.elrooted.com/uc/i686)与Mal_ProxyC&C(cest4.elrooted.com)使用了一样的二级域名，，，，，，，且同期两类样本均更新迭代了参数启动的新版本，，，，，，，我们以为二者有着较强的关联性。。。。。。。。下文以V3版本为例进行分析，，，，，，，并对其参数启动、扫描模浚浚浚浚�？？椤⒔谠熘噶畹戎澳艿母律肚榭鼋凶⒚�。。。。。。。。

表10：样本信息

8827太阳集团(Macau)股份有限公司-Official website

LeetHozer的攻击指标重要是针对IOT设备，，，，，，，一旦设备沉启，，，，，，，其内存中的Bot法式也会随之隐没。。。。。。。。所以LeetHozer会通过向watchdog（看门狗）发送0x80045704来禁用watchdog职能，，，，，，，从而预防设备沉启。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图33：禁用watchdog

同时法式会在console中输出/bin/sh: ./filename: not found蛊惑用户，，，，，，，之后执行端口扫描上报，，，，，，，和谈校验上线和攻击模浚浚浚浚�？？榈戎澳�。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图34：console输出

3.3.1 敏感信息加密

LeetHozer选取了自界说的算法加密资源信息，，，，，，，加密密钥为qE6MGAbI。。。。。。。。有关算法如图35所示：

8827太阳集团(Macau)股份有限公司-Official website

图35：加密算法

解密后的资源信息如表11所示：

表11：解密资源信息

8827太阳集团(Macau)股份有限公司-Official website

3.3.2 端口扫描和信息上报

LeeHozer复用了Mirai的扫描大局，，，，，，，如扫描并登陆成功后则上报设备信息，，，，，，，且分歧版本拥有分歧的扫描模式。。。。。。。。

表12：扫描模式

8827太阳集团(Macau)股份有限公司-Official website

V2版本扫描9530端口：

8827太阳集团(Macau)股份有限公司-Official website

图36：9530端口扫描

V3版本则有所分歧，，，，，，，相较于之前的版本，，，，，，，V3版本增长了参数启动配置。。。。。。。。若是无参执行样本，，，，，，，默认不会执行扫描职能；；；；；；；；而若是启动法式时增长telnet参数则会进行扫描操作（如“./samples telnet”）

8827太阳集团(Macau)股份有限公司-Official website

图37：23/26端口扫描

8827太阳集团(Macau)股份有限公司-Official website

图38：上报Reporter

3.3.3 通讯和谈及攻击模浚浚浚浚�？？�

LeeHozer成立通讯的过程较为复杂，，，，，，，首先其会通过Socks5和谈衔接代理网络，，，，，，，从而进一步与Tor C&C成立衔接：

8827太阳集团(Macau)股份有限公司-Official website

图39：Socks5和谈交互

若是当前Socks代理衔接失效，，，，，，，法式会随机从内置的107个代理当选择其一并沉新成立代理衔接，，，，，，，内置代理列表如下：

表13：代理列表

8827太阳集团(Macau)股份有限公司-Official website

这批代理资源很有可能就是通过Mal_Proxy成立，，，，，，，当然，，，，，，，其中也可能蕴含一些共享资源和免费节点。。。。。。。。

当LeeHozer成功和C&C成立衔接后，，，，，，，还需经过两轮校验交互能力真正实现上线。。。。。。。。

第一轮校验：

Client->Server：

校验要求包长度为255字节，，，，，，，但只有前32字节为有效内容。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图40：第一轮校验要求包

表14：第一轮校验要求包解析

8827太阳集团(Macau)股份有限公司-Official website

推算校验值的算法如图41所示：

8827太阳集团(Macau)股份有限公司-Official website

图41：推算校验值

Server->Client:

节造端回包同样为255字节，，，，，，，前32字节有效。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图42：第一轮节造端回包

客户端会针对回包的两个标志位进行校验，，，，，，，别离为0x70f1和0x4819，，，，，，，校验通过后持续进行第二轮交互。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图43：标志位校验

第二轮校验：

Client->Server：

客户端校验要求包仍为255字节，，，，，，，前32字节有效，，，，，，，部门数据源自第一轮服务端的回包。。。。。。。。

图44：第二轮校验要求包

表15：第二轮校验要求包解析

Server->Client:

第二循环包与第一循环包类似，，，，，，，总长255字节，，，，，，，前32字节有效。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图45：第二轮节造端回包

客户端对0x70F2和0x2775两个标志位校验成功后，，，，，，，僵尸的上线过程才算实现，，，，，，，之后僵尸期待节造端下发指令，，，，，，，其中指令的首字节指定了节造指令类型。。。。。。。。

节造指令共蕴含三类：

表16：节造指令类型

8827太阳集团(Macau)股份有限公司-Official website

0x00 心跳包：

图46：心跳包

0x01 发送标识信息：

图47：发送标识信息

如首字节为其它值，，，，，，，则会解析具体的指令职能，，，，，，，LeetHozer分歧版本的职能指令如表18所示：

表17：职能指令表

8827太阳集团(Macau)股份有限公司-Official website

图48：V3版本攻击指令判断

我们观察到，，，，，，，近期LeeHozer仍在持续发展攻击活动，，，，，，，攻击指令如图48所示：

8827太阳集团(Macau)股份有限公司-Official website

图49：攻击指令数据包

表18：攻击指令数据解析

8827太阳集团(Macau)股份有限公司-Official website

溯源与关联

值妥贴心的是，，，，，，，LeeHozer在代码中多处使用了与vbrxmr有关的字符串，，，，，，，例如‘GET /vbrxmr/i586 HTTP/1.0’、‘/bin/busybox VBRXMR’，，，，，，，以及C2（vbrxmrhrjnnouvjf.onion）等。。。。。。。。与之有关的，，，，，，，Hoaxcalls(XTC)僵尸网络曾使用cbc.vbrxmr.pw作为C2，，，，，，，代码中也出现过vbrxmr字符串，，，，，，，且同样能够借助代理网络通讯（具备Fastflux职能），，，，，，，Vbrxmr的频仍出现也不得不让人疑惑两者之间存在肯定的关联。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图50：Hoaxcalls字符串

此表，，，，，，，通过搜索LeeHozer的加密密钥qE6MGAbI，，，，，，，还发现了另一种使用代理通讯的样本，，，，，，，且其使用的代理列表也和LeeHozer有部门沉合。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图51：某代理样本字符串

类似的关联批注这些使用代理的僵尸网络节造者间或多或少存在着一些联系，，，，，，，黑客们很可能在地下论坛买卖代理资源、共享代码或是通过代码仿照来蛊惑钻研人员。。。。。。。。

四、总结

随着物联网时期的急剧发展，，，，，，，安全匹敌也在不休升级和进化。。。。。。。。浚浚浚浚�？Ｄ芄豢吹剑�，，，，，，越来越多的攻击者尝试从更多的维度发展攻击活动和安全匹敌。。。。。。。。一方面，，，，，，，越来越多的攻击者起头借助代理网络来加强隐匿安全，，，，，，，代理资源作为隐匿C&C的前置网络无疑是一个巨大的威胁和隐患；；；；；；；；另一方面，，，，，，，也出现了利用恶意样本实现诱捕监测和反探测能力的利用新思路，，，，，，，这些城市给物联网设备的安全防护和钻研工作带来更多的变动，，，，，，，后续我们也会进行持续的关注和追踪。。。。。。。。

IOC信息

Moobot：

URL :

http://exec.elrooted.com/ab/i686

http://conn.elrooted.com/li/arm

http://91.92.66.87:80/420/adb/x86

http://185.163.46.6/a/x86_64

http://5.252.179.60/b/x86_64

http://185.172.110.224/ab/i586

C2：

proxy.2u0apcm6ylhdy7s.com

abcdefg.elrooted.com

park.elrooted.com

frsaxhta.elrooted.com

cccc.elrooted.com

205.185.114.231

185.172.110.224

Reporter IP：

gfedcba.elrooted.com

hello.elrooted.com

HASH：

1a64cd13d9c71542ce60183356a615505f10ddc192eded5fce0f0075f3ad7648

ca3889994301f28baa791f4ef1aa473b0bc6e975cda703195787872795171869

e9a7aab3ab25c0a091d98d3ae4a313fba3b3bd0588bfe8e3624ec016bc11f02e

2516bdc3ae3818e30e1145f75811937e29ce10f94722c6da1ea7c28f4c0bc3dc

a6e18135a2afcd96957bff63388501465f5a1203b2d22ee0f1074661e286d9e3

59b1ca2d47af1d5b60b84c3a9d6a64a09b7340864b9e90247466d7f91ed53b84

d5d5488ae9c80558cc4634ce6d51837d82347fd48d1a665e606dcfbfdf638b7b

Mal_Proxy：

URL ：

http://proxy.2u0apcm6ylhdy7s.com/b/x86_64

http://proxy.2u0apcm6ylhdy7s.com/b/armv7l

C2：

hxarasxg.hxarasxg.xyz

cest4.elrooted.com

da.elrooted.com

185.172.110.240

HASH：

a67f79c7ae6b1177309cb328d3ec93ec91960edf457a4f5a74120baaf80139ee V2

04114bd136941811e355df28e9b2eeaa941a04b61b185fd214a4c54daa171e1c V2

80f1973b82cbea485f27eb8c44983c565701fdc4e6d3e994ed57bf57a66b9c81 V2

f91427e74a84c34d329116443fa1c89c63dab57e01129345a9f9ed364533dd49 V1

4ed3c601022b4d8c1478521241b847dcacecd837bc75547f3a378ee9d5b9e15f V1

b41de82ea89e2ceedda5b4a856c273c4ce06429d876ee4a05ee9a2423741461f V1

LeeHozer：

C2：

vbrxmrhrjnnouvjf.onion:31337

37.49.226.171:31337

w6gr2jqz3eag4ksi.onion:31337

Reporter IP:

report.infidel.ml:9814

HASH：

84efc5ce8a0729b1248b5f7a43ddf371f517ac0a0eea0a5b0674ce195be61b8e v3

ca8095af62b836f3ddd12007bc8cb67cdd39266c3d40179691f9ee1ca94e9428 v2

1c5349696c04dfa8e0f458ad1d9aa360f4768b21d3dd83fb98d935691b1b2a88 v1

参考文件：

1.https://blog.radware.com/security/botnets/2020/05/whos-viktor-tracking-down-the-xtc-polaris-botnets/

2.https://blog.netlab.360.com/the-leethozer-botnet-en/

3.https://www.exploit-db.com/exploits/48225

4.https://blog.netlab.360.com/multiple-botnets-are-spreading-using-lilin-dvr-0-day/

5.https://habr.com/en/post/486856/

原文起源：网络安全应急技术国度工程尝试室

本汇报由CNCERT物联网安全钻研团队与8827太阳集团集团ADLab攻防尝试室结合颁布

8827太阳集团积极防御尝试室（ADLab）

ADLab成立于1999年，，，，，，，是中国安全行业最早成立的攻防技术钻研尝试室之一，，，，，，，微软MAPP打算主题成员，，，，，，，“黑雀攻击”概想首推者。。。。。。。。截止目前，，，，，，，ADLab已通过CVE累计颁布安全缝隙1000余个，，，，，，，通过 CNVD/CNNVD累计颁布安全缝隙800余个，，，，，，，持续维持国际网络安全领域一流水准。。。。。。。。尝试室钻研方向涵盖操作系统与利用系统安全钻延注移动智能终端安全钻延注物联网智能设备安全钻延注Web安全钻延注工控系统安全钻延注云安全钻研。。。。。。。。钻研成就利用于产品主题技术钻延注国度沉点科技项目攻关、专业安全服务等。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研

僵尸蜜网：首款具备诱捕及反探测能力的物联网僵尸网络

关于8827太阳集团

解决规划

安全钻研

联系8827太阳集团

7*24幼时服务热线