Mozi僵尸网络攻击再现
突发 > 8月29日1时,威尼斯432888cam专家运维团队接到告警,用户内网环境的XDR日志中出现大量可疑流量。
定性 > 1时07分,威尼斯432888cam锁定用户内网一台设备,其流量命中P2P僵尸网络Mozi的流量特征,确定为Mozi僵尸网络攻击。
处置 > 2时26分,威尼斯432888cam成功完成失陷主机的遏制,获取Mozi样本,对失陷主机进行病毒清除。
Mozi攻击事件复盘
2021年8月29号凌晨, 威尼斯432888camUAP平台所收集的TDA告警日志反映,预设策略“Mozi Botnet DHT Config Sent”被命中
1时7分14秒,客户内网一台设备尝试外联,其流量命中P2P僵尸网络Mozi的流量特征。正在向182.124.24[.]231发送请求,等待C2 Server (Mozi Master)下发名为Config的有效载荷。
29日凌晨2时13分,排查临近bitorrent流量相近时间段告警,定位到该主机在该时段的相关可疑流量日志。其中包含多条FTP流量告警和一条TCP流量告警。发生在同一时间段的FTP可疑流量,其目的主机名皆为化名“user-pc”的内网设备。展开后的FTP告警详情显示,命中的策略描述同为“Unsuccessful logon - FTP”;判断攻击者尝试对主机进行暴力破解。
同一时间,内网设备“user-pc”尝试外联名为“163-172-206-67.rev.poneytelecom[.]eu”的设备,该TCP流量被规则命中,提示“Miner-TCP (REQUEST)”;威尼斯432888cam专家确定,攻击者尝试将失陷主机用于非法挖矿,以谋取直接利益。
2时23分,鉴于用户的内网设备安装有威尼斯432888camEDR Agent,在SaaS管理端确认失陷主机内的agent仍处于在线状态后。威尼斯432888cam专家向失陷设备发送遏制指令,控制威胁的源头,防止病毒横向传播。
2时26分,管理端显示失陷主机遏制成功;威尼斯432888cam专家通过EDR SaaS内置的调查分析功能进一步定位恶意软件;搜索失陷主机的过往进程记录,通过事件时间节点,找到相近时间戳下的进程。搜索结果如下,在29日1时07分,一个名为figure.scr的文件执行,触发了一系列操作。
提取EDR SaaS的进程树,更明晰的展现了该可执行文件的行为;从其释放的大量pyd文件,初步判断,该Mozi样本是一个由pyinstaller打包的可执行文件,位于%TEMP%\figure\路径下。
29日2时49分,威尼斯432888cam专家登录失陷主机,获取到figure.scr的Mozi样本;并对失陷主机进行病毒清除。
回顾攻击,Mozi的攻击者首先通过水坑攻击感染目标主机,并植入预设脚本,以定时下载并执行Mozi样本figure.scr;执行后,Mozi僵尸网络中的Bots开始对客户网络中可访问的FTP服务实施暴力破解;同时,失陷主机向C2 Server (Mozi Master) 发起请求,要求下发名为Config的有效载荷,获取Mozi恶意样本的下载地址,以达到将失陷主机囊括入僵尸网络的目的;此外,失陷主机执行挖矿指令,向矿池发送TCP请求。
病毒样本分析
计算样本的File ID后,在超洞察威胁威胁情报平台上查询该样本,发现该恶意文件被标注为Coinminer.Win32.MALXMR.TIAOODEL。
将现有样本投入沙箱,从释放的文件中挖掘出犯罪团伙的矿池地址,钱包信息和选用的矿机样本;根据威胁情报,所释放的可执行文件xmrig.exe (sha256: 4bf737b29ff521bc263eb1f2c1c5ea04b47470cccd1beae245d98def389929bd) 是一款开源门罗币矿机,犯罪分子意图将失陷设备连入矿池,执行挖矿操作,并把所得收益存入预设钱包。
(矿池和钱包信息)
对比过往样本分析产生的流量,发现该样本流量中有明显的Mozi僵尸网络通信特征。流量对比如下所示:
(此次事件样本的udp通信流量)
(过往Mozi样本流量)
结合过往事件,Mozi传播过程中,目标主机将向僵尸网络请求下发Config文件,以获取恶意样本下载地址;Bots节点,对目标主机尝试暴力破解或漏洞利用,目的是从该Bot已知的地址下载恶意样本;在受感染设备上执行Mozi样本,使其加入P2P僵尸网络,并在C2 Server的命令下执行恶意行为。
僵尸网络攻击,“屡治不绝”的伤
威尼斯432888cam超洞察威胁情报团队指出,Mozi相对于前期版本,针对DDoS攻击和传播感染的效率都做出了增强;该更新具体体现在该僵尸网络实现了控制和业务节点的分离,这也促成其可以将实际业务从原有网络体系中解放出来,极大的提升了Mozi的功能弹性;甚至Mozi的开发者可以将俘获的基础设施租赁给其他犯罪团伙,而非初始阶段单纯借助僵尸网络发起DDoS攻击。
因此,一个僵尸攻击的阻截,不代表僵尸网络的停摆,面对“屡治不绝”的攻击,安全人员应该提高警惕,加强应对和预防的手段和措施:
处置建议:
常态化升级IOT系统清除已知漏洞;
定期更换密码;
避免使用弱口令;
只开放必要端口,加强网络流量检测。