一个由名为 Matrix 的威胁行为者策划的新型广泛分布式拒绝服务 (DDoS) 活动。该活动由我们在蜜罐上检测到的活动触发,本次调查深入探究了 Matrix 的方法、目标、工具和总体目标。
此次活动凸显了如何利用易用工具和最低限度的技术知识来发动大规模网络攻击。Matrix 展示了威胁行为者越来越倾向于针对联网设备(尤其是物联网和企业系统)中的漏洞和错误配置。该行动结合了公共脚本、暴力攻击和利用弱凭证来创建能够造成全球破坏的僵尸网络。
本博客旨在剖析 Matrix 的攻击框架,分析其基础设施,将其映射到 MITRE ATT&CK 框架,并提供可行步骤来防御此类威胁。研究结果显示了威胁形势令人担忧的演变,甚至脚本小子也可以利用开源工具来执行复杂且大规模的活动。
关键要点
- 此次行动提供了全面的一站式服务,包括扫描、利用漏洞、部署恶意软件和设置商店工具包,展示了一种应对网络攻击的全能方法。
- 此次活动展示了单个威胁行为者(或至少这是给人的印象)如何策划大规模的全球攻击活动。
- 有多种迹象表明威胁行为者是脚本小子。然而,随着人工智能 (AI) 工具的普及和大量即插即用黑客工具的出现,脚本小子现在的威胁比以往任何时候都要大。
- 尽管表现出与俄罗斯有密切联系的强烈迹象(或至少给人留下这种印象),但没有针对乌克兰,这凸显了其缺乏政治动机。这凸显了其对经济利益的关注,而不是意识形态或爱国目标。
- 从历史上看,对软件开发生命周期涉及的服务器的主要影响是加密挖矿。与此同时,物联网设备仍然是 DDoS 僵尸网络的主要目标,因为它们设计轻量且安全措施最少。然而,这次活动标志着一种演变,因为威胁行为者正在积极瞄准开发和生产服务器。这种转变可能表明,利用企业漏洞和错误配置进行 DDoS 活动的兴趣日益浓厚。
此次攻击活动中使用的初始访问向量
此次攻击活动虽然并不复杂,但却表明,人们可以利用易用的工具和基本的技术知识对网络连接设备中的众多漏洞和错误配置进行广泛、多方面的攻击。通过收集公开可用的脚本和工具并利用默认或硬编码的凭据,攻击者能够初步访问各种网络连接设备和服务器,包括 IP 摄像头、DVR、路由器、电信设备和其他物联网设备。
除了物联网设备之外,攻击者还瞄准常见协议和应用程序,例如 telnet、SSH、Hadoop 和 HugeGraph,利用漏洞和错误配置来访问更强大的服务器基础设施。
admin:admin许多此类攻击都涉及使用常见默认凭据(如或 )进行暴力登录尝试root:camera,这种做法在未受保护的设备上仍然很普遍,因此特别容易受到攻击。一旦受到攻击,这些设备就会成为大规模行动的资产,包括分布式拒绝服务 (DDoS) 攻击。
此次活动的主要方法包括:
- 路由器漏洞:针对路由器(包括中兴和 GPON 型号)的攻击利用了 CVE-2017-18368(命令注入漏洞)和 CVE-2021-20090 等漏洞,这些漏洞会影响运行 Arcadyan 固件的各种设备。
- DVR 和摄像头漏洞:攻击者利用采用 Hi3520 平台的监控设备中的弱点,通过 HTTP 进行未经授权的访问和命令执行。
- 电信设备和物联网设备:运行轻量级 Linux 发行版(如 uClinux)的设备成为攻击目标,利用默认配置和服务,包括华为和 Realtek 设备中的 UPnP 漏洞。
- 软件系统中的高级漏洞:该活动还针对 Apache Hadoop 的 YARN 和 HugeGraph 服务器中的漏洞,实现远程代码执行,并将攻击从物联网设备扩展到企业软件。
虽然此活动没有使用高级技术,但它利用了各种设备和软件中普遍存在的安全漏洞。这些方法的简单性凸显了解决基本安全实践的重要性,例如更改默认凭据、保护管理协议和及时应用固件更新,以防范此类广泛、机会主义的攻击。该活动最终反映了缺乏基本安全配置如何使设备容易受到广泛攻击,而技术复杂程度却最低。
错误配置和密码分析
在此次活动中,我们观察到了与错误配置(尤其是弱密码)相关的多个初始访问向量。这些向量包括 IoT 设备中常见的默认弱密码和用户选择的弱密码。此外,我们还发现了针对包含密码的暴露文件的脚本,这些文件主要托管在 HTTP 服务器上,从而可能导致暴露和远程代码执行。
[
图 1:捕获的数据包表明使用默认凭据用户 root 和密码 xc3551 成功登录摄像头
我们在多个文件中发现了 167 个唯一的用户名和密码对。随后,这些密码被加载到部署在暴露服务器上的暴力破解脚本中,作为蠕虫式机制的一部分,用于定位新服务器或 IoT 设备并将其添加到僵尸网络中。值得注意的是,167 个密码中有 134 个(约 80%)属于 root 或管理员用户,这突显了默认凭据的普遍性。
当通过各种密码强度计进行测试时,这些密码始终获得非常低的分数,总体评级为“非常差”。
有关错误配置的更多详细信息请参见下面的附录 1。
漏洞分析
常见漏洞暴露 (CVE) 分析是基于脚本、其目标和相关端口进行的。虽然这种方法可能存在缺陷,但我们在各种脚本中确定了 10 个 CVE。最新的 CVE,CVE-2024-27348,涉及 HugeGraph,代表 2024 年 4 月发布的一个严重漏洞。威胁行为者积极利用了此漏洞。其余 CVE 是较旧的漏洞。
已确定的目标包括存在漏洞的开发和生产服务器。如前所述,威胁行为者还利用配置错误的_Telnet_、_SSH_和_Hadoop_服务器,特别是在主要 CSP(云服务提供商)范围内,这突显了其活动的重点。但是,大多数漏洞都集中在 IoT 设备上(CVE-2022-30525、CVE-2022-30075、CVE-2018-10562、CVE-2018-10561、CVE-2018-9995、CVE-2017-18368、CVE-2017-17215、CVE-2017-17106和CVE-2014-8361)。这强化了威胁行为者的主要目标:攻击采用最低限度安全措施的物联网设备,以扩大其 DDoS 僵尸网络,从而使这些设备在较长时间内处于受攻击状态。
有关 CVE 的更多详细信息请参阅下面的附录 2。
目标分析
我们分析了扫描器使用的配置文件,以深入了解此活动的目标和影响。我们的高交互蜜罐和低交互蜜罐的数据补充了此分析,高交互蜜罐提供了有关攻击者行为的详细信息,而低交互蜜罐则突出了扫描活动的数量以及目标服务的类型。
有趣的是,攻击者利用了云服务提供商 (CSP) 的专用列表,重点关注其 IP 范围。此外,较小的私有云和公司也成为攻击目标。例如,Intuit 的 IP 范围是威胁行为者的目标之一,此外还有物联网设备和亚太地区(尤其是中国和日本)的众多实体。
这表明,虽然发动 DDoS 攻击的黑客传统上主要针对物联网设备,但他们正日益将重点扩大到包括 CSP 的 IP 范围,并强调大型和区域组织的关键基础设施。
[
图 2:Matrix 所针对的 CSP IP 范围饼图
有趣的是,中国和日本以明显优势成为最受攻击的国家。这可能归因于亚太地区广泛采用物联网设备,使其成为黑客实施 DDoS 攻击的主要目标。值得注意的是,美国在受攻击国家名单中仅排名第 15 位。
据信该威胁行为者来自俄罗斯,但俄罗斯完全没有出现在目标名单上,这与预期一致。然而,特别令人惊讶的是乌克兰没有出现在目标名单上。这表明该行为者的动机与经济利益密切相关,而不是爱国情绪,突显出他们的行动方式以商业为导向。
[
图 3:世界地图上的目标 IP 地址分析
潜在目标名单
根据发现的错误配置和漏洞,我们生成了一份潜在目标列表。我们使用 Shodan(一种扫描和索引互联网连接设备的搜索引擎)查询和分析数据,以估计全球潜在目标的数量。
我们的分析显示,近 3500 万台联网设备运行着威胁者所寻找的目标产品。值得注意的是,Shodan 提供了暴露设备的快照,而威胁者则使用受感染的服务器和设备进行主动扫描。这表明实际目标数量可能更高。
尽管已识别的设备数量庞大,但并非所有设备都存在漏洞或配置错误。假设这些设备中只有 1% 可利用,则潜在的僵尸网络规模可能达到 35 万台。如果 5% 的设备存在漏洞,则僵尸网络规模可能增长到约 170 万台设备。
| 产品 | 体积 |
| 产品:“OpenSSH” | 24,189,663 |
| “华为家庭网关” | 3,819,199 |
| “网络摄像头” | 2,700,172 |
| 产品:“ntpd” | 1,106,481 |
| “中兴” | 1,014,312 |
| “TP-LINK” | 866,584 |
| “DVR” | 617,672 |
| 远程登录 | 335,551 |
| “NVR” | 194,015 |
| “PDR-M800” | 45,413 |
| “netgear” | 41,192 |
| “OpenWRT” | 22,167 |
| “cgi-bin/luci” | 16,805 |
| “uClinux” | 6,634 |
| “HugeGraph” | 10 |
| “Hadoop” | 9 |
相比之下,像911-S5 僵尸网络这样的大型僵尸网络最多包含 190 万台设备,而像Gorilla 僵尸网络这样的小型僵尸网络则包含约 30 万台设备。即使处于这一范围的低端,由单个攻击者控制的这种规模的僵尸网络也会构成重大威胁。
Matrix 的基础设施和工具箱
Matrix 于 2023 年 11 月开设了一个 GitHub 帐户,并利用该帐户下载恶意文件作为其攻击活动的一部分。我们分析了该威胁行为者的 GitHub 帐户。
[
图 4:矩阵 GitHub 存储库活动图表
所使用的主要开发语言似乎是 Python,约占活动的 40%,其次是 Shell 和 Golang,各占 18% 左右,Java、JavaScript 和 Perl 的贡献较小。这种多样性凸显了语言的熟悉程度,但大多数工具都来自其他 GitHub 帐户或安全或黑客网站。这些工具不是从存储库中分叉,而是在本地下载和修改,这表明具有一定程度的定制和适应性。然而,对外部脚本的严重依赖反映了脚本小子倾向,他们专注于利用现有工具,而不是独立开发高级功能。此外,大多数提交都是在工作日完成的(约 95%),这表明这些提交是在工作日完成的,而不是出于业余爱好和周末工作。
在过去的一年中,GitHub 活动在广泛的公共项目和技术中表现出一致的活动。关键里程碑包括 Python、Go 和 Shell 脚本方面的持续努力,以及在_扫描仪_、_DHJIF_和_2FTS3_等存储库上取得的重大进展。这些活动模式可能凸显了在探索各种领域(包括脚本、网络相关项目和自动化)的同时,对构建和增强僵尸网络工具的高度关注。
[
图 5:对 GitHub 上 Matrix 活动的分析
重点关注了_scanner_、gggggsgdfhgrehgregswegwe、_musersponsukahaxuidfdffdf_和_DHJIF_等存储库。这些存储库包含各种工具,用于在 IoT 设备和服务器上扫描、利用和部署恶意软件(主要是 Mirai 和其他 DDoS 相关工具)。此外,还对_qqq_存储库进行了显著的投入,该存储库在 2024 年 2 月的早期测试活动中得到了使用。该活动引起了媒体、开发者论坛和安全网站的关注,有报告重点介绍了其活动和潜在影响。
第一次攻击活动非常简单直接。主要载荷是通过名为vpn.py(附录 3)的脚本部署的。
图6:vpn.py脚本内容
此脚本是一个 Discord 机器人,旨在连接到特定频道并执行命令。它与 Discord 集成以允许远程控制,并在发生操作(例如连接或执行命令)时向指定频道发送消息。该机器人包括在给定时间内针对指定 IP 和端口发起基于 UDP 的数据包洪流(一种拒绝服务攻击)的功能。
这是 Matrix 上传到他的 GitHub 账户的一些拒绝服务工具,其中大部分也在野外被观察到攻击。
Mirai 僵尸网络
Mirai 是一种臭名昭著的恶意软件,主要针对物联网 (IoT) 设备,利用弱密码或默认密码来入侵这些设备。一旦被感染,这些设备就会成为僵尸网络的一部分,用于发起大规模分布式拒绝服务 (DDoS) 攻击。2016 年,Mirai 引起了全球关注,当时它被用来执行一些有记录以来最大规模的 DDoS 攻击,造成了大面积破坏。它的开源版本导致了众多变种,并使其成为网络安全的重大威胁。Matrix 的 x86 版本称为 x86_64,MD5:df521f97af1591efff0be31a7fe8b925。
DDoS代理
Virus Total 分类为 的几种工具Trojan.ddosagent/ddos。VT 中检测到了几种。在此活动中已识别出 2 种 Client(MD5: 76975e8eb775332ce6d6ca9ef30de3de) 和Misp (MD5: 9181d876e1fcd8eb8780d3a28b0197c9)。
SSH 扫描黑客工具
这是 Virus Total 中对 SSH 扫描程序的分类,该扫描程序可检测配置错误或存在 SSH 访问漏洞的主机并发起攻击。Matrix 使用的文件名为update (MD5: c7d7e861826a4fa7db2b92b27c36e5e2)。
PyBot
此脚本代表名为 的僵尸网络的服务器组件[PYbot](https://github.com/wodxgod/PYbot),旨在远程控制多个受感染的设备(机器人)。它是一个命令和控制 (C&C) 服务器,负责处理与机器人和操作员客户端的通信,从而实现各种类型的分布式拒绝服务 (DDoS) 攻击。
皮尔森网络
GitHub中基于 Python 的框架,用于在 Windows 和 Linux 系统上创建僵尸网络,包含感染脚本、下载服务器和框架的其余部分。
DiscordGo
GitHub开源项目 DiscordGo 可在 Linux 系统上部署 Discord 僵尸网络(MD5:0e3a1683369ab94dc7d9c02adbed9d89)。Virus Total 中未检测到该病毒,但它可以运行一些旨在淹没野外目标的 DDoS 命令。
当观察 Ghidra 中的二进制文件时,看起来威胁行为者已经合并(或使用合并工具),其中包含 DiscordGo 机器人和 DDoS 功能。
[
图 7:Ghidra 的屏幕截图,展示了 DiscordGo 包的使用情况
DDoS 功能如下图8所示。
[
图 8:Ghidra 的屏幕截图,展示了 DDoS 功能
HTTP/HTTPS 洪水攻击
基于 JavaScript 的脚本,实现分布式 HTTP/HTTPS 洪水攻击。
同性恋网络
该僵尸网络框架可在GitHub上找到,其创建者将其描述为“2023 年最佳 DDoS 僵尸网络”。该存储库包含主要用 Go(92.9%)和 Python(5.9%)编写的代码,以及其他组件。
上述列表展示了大量 DDoS 工具,这些工具可能表明攻击者是创新且技术娴熟的。然而,仔细观察后发现,这些工具主要是开源且公开可用的。真正的技术在于能够有效地集成和操作这些工具,这凸显了脚本小子利用随时可用的黑客资源所带来的日益严重的威胁。
[
图 9:其中一个 DDoS 工具的 ASCI 图
在其中一个存储库中,我们还发现了一个脚本,可用于检查 Windows Defender 是否存在,以逃避检测或禁用它。它还可以通过启动 Defender 来充当诱饵,分散用户的注意力,同时 DDoS 攻击在后台进行。
此外,Matrix 还将其用作playit.gg 其 C2 服务器阵列的一部分。Playit.gg这是一种服务,使用户能够在个人计算机上托管游戏服务器,而无需端口转发。通过利用自定义隧道软件和 Anycast 网络,它允许全球玩家安全高效地连接到他们的服务器。
通过 Telegram 商店销售服务
我们发现了一个名为 的 Telegram 机器人的创建证据Kraken Autobuy,该机器人旨在处理某些 DDoS 计划或服务的自动销售。这些购买计划涉及访问分布式攻击中常用的基础设施,特别是针对第 4 层(传输层)和第 7 层(应用层),这些与本博客中介绍的工具相关。
买家可以选择不同的计划,包括各种访问层级(“基本”、“高级”、“终极”、“商业”、“精英”和“企业”),这些层级提供特定的使用限额和攻击时间限制,例如基本计划中第 4 层为 60 秒,第 7 层为 300 秒。付款使用加密货币完成。
[
图 10:基于脚本的 Telegram 商店图示
影响
DDoS 僵尸网络的主要影响是拒绝对托管一系列在线业务或后端操作的各种服务器提供服务。这些僵尸网络通常通过 Telegram 等平台运营,用户可以在这些平台上付费通过在线自动售货机发起攻击。分析 Matrix 的客户具有挑战性,但其后果是深远的。
除了直接遭受 DDoS 攻击的受害者之外,服务器被入侵的企业也受到了重大影响。例如,如果受影响的服务器是云供应商基础设施的一部分,这些服务器可能会被服务提供商停用,从而导致受害者的业务中断。在一个著名的案例中,联邦调查局介入并查封了一个托管在线 DDoS 自动售货机的网站,并将其关闭,以防止进一步滥用。
[
图 11:该网站提供 DDoS 服务后遭 FBI 查封
此外,我们还观察到了加密货币挖矿操作的执行,具体目标是 ZEPHYR 币。此活动仅限于单个存储库。虽然挖矿操作(如下图 12 所示)可能看起来很重大,但威胁行为者仅设法挖出了大约 1 ZEPHYR,目前价值约为 2.70 美元。这凸显了此类挖矿活动在此次活动中的财务收益相对较低。
[
图 12:Matrix 加密货币挖矿操作的屏幕截图
将攻击活动映射到 MITRE ATT&CK 框架
我们的调查显示,攻击者在整个攻击活动中一直使用一些常见技术。这里我们将攻击的每个组件映射到 MITRE ATT&CK 框架的相应技术:
[
初始访问
- 利用面向公众的应用程序:利用物联网设备、路由器和服务器中的漏洞,例如 HugeGraph(CVE-2024-27348)和 Arcadyan 固件(CVE-2021-20090)。
- 有效账户:
admin:admin使用预编译的用户名-密码对(例如和)进行暴力攻击root:camera来访问设备。
执行
- 命令和脚本解释器 - Python :部署 shell 脚本、Python 脚本和 Discord 机器人以执行命令,包括 DDoS 命令和系统侦察。
持久性
- 创建或修改系统进程:修改物联网设备和服务器上的进程,以实现长期僵尸网络控制。
- 植入软件:安装 Mirai 和 PYbot 等僵尸网络客户端以维持立足点并促进持续攻击。
防御规避
- 禁用或修改工具:识别并禁用 Windows Defender 或其他防病毒解决方案。
- 伪装:使用看似合法的脚本和开源工具来混合恶意活动。
凭证访问
- 暴力破解:使用精选字典执行暴力攻击以窃取凭证。
发现
- 网络服务扫描:使用 SSH 扫描器等工具来识别配置错误或易受攻击的设备。
- 网络共享发现:识别可进行横向移动的共享或服务。
横向移动
- 远程服务的利用:针对 SSH、Telnet 和 Hadoop YARN 等远程服务进行传播。
- 远程服务会话劫持——SSH 劫持:通过迭代 SSH 密钥在网络中横向移动。
收藏
- 来自本地系统的数据:从受感染的系统或检查数据库(SQLlite)收集敏感数据,如配置文件和凭据。
指挥与控制
- Web 服务:使用 Telegram 和 Playit.gg 等平台管理僵尸网络通信并销售攻击服务。
- 加密频道:使用 Discord 机器人和其他加密方法建立安全通信。
影响
- 资源劫持:进行加密挖掘操作,尽管经济收益很小(挖掘出约 1 ZEPHYR,价值 2.70 美元)。
- 服务耗尽洪水:执行第 4 层和第 7 层 DDoS 攻击以压垮目标服务器。
检测与缓解
Matrix 的攻击活动在某种程度上代表了 DDoS 攻击的升级,展示了现代威胁行为者的适应性和规模。Aqua Nautilus 研究人员通过触发的蜜罐观察了这一行动,揭示了一场复杂且不断发展的攻击活动。Matrix 采用了各种各样的工具、漏洞和基础设施,针对物联网设备、云服务和企业系统中的漏洞。
该活动的特点是大量使用公开可用的脚本,突显了所谓的脚本小子所带来的日益严重的威胁,他们可以集成和操作这些工具进行有意义的攻击。虽然最初的访问权限通常是通过暴力攻击和利用已知漏洞获得的,但 Matrix 展示了以业务为导向的重点,利用受感染的设备进行 DDoS 攻击并通过 Telegram 机器人商店出售他的服务。
我们的分析发现了大量正在使用的漏洞,包括针对物联网设备、路由器和企业服务器的 CVE。此外,配置错误的设备和薄弱的凭证扩大了该活动的覆盖范围,可能会影响全球数百万台设备。
