导语:近几个月内,安天捕风蜜罐系统监测发现IPK有向境内蔓延的迹象,后期可能会在境内爆发IPK僵尸网络。
一、IPK僵尸网络概述
IPK僵尸家族是自2012年底就开始出现并长期持续活跃在境外的DDoS僵尸网络。2016年底至2017年初,IPK家族在境外处于爆发状态(如图1-1)。近几个月内,安天捕风蜜罐系统监测发现IPK有向境内蔓延的迹象,后期可能会在境内爆发IPK僵尸网络。从IPK僵尸网络的通信协议首包(OpenHeart)明文看,有一个默认值为“IPKServer”的协议字段(见图1-2),因此将其命名为Trojan[DDoS]/Win32.IPK.A。
图1-1 IPK样本活跃趋势
图1-2 OpenHeart首包
IPK家族僵尸网络的主要功能及特点如下:
1.实现DDoS攻击;
2.在样本中控制端(下称:C2)配置信息以及被控端木马(下称:木马)与C2之间的通讯都使用了加密算法,且密码可由僵尸网络操纵者自定义(默认密码为:encpassword);
3.C2的控制节点默认监听端口为1337,默认服务为IPKServer,默认互斥量为IPKMutex,默认备份文件名为AdobeRAT.exe;
4.可实现样本更新及传播其它木马。
二、样本详细分析
1.基本信息
表 2-1木马样本基本信息
2.传播方式
IPK僵尸网络的传播与扩散主要通过以下渠道:
(1) 垃圾邮件传播:结合Spam僵尸网络,将IPK的被控端木马(下称:木马)伪装成邮件的附件,向海量邮箱发送垃圾邮件,诱使用户下载并运行木马,这也是目前境外僵尸网络拓展的主要手段之一。
(2) 僵尸网络传播:通过已部署的僵尸网络所具备的样本下载功能,对已有Bot下发样本下载的远程指令,快速下载存放在放马站点的IPK木马。目前在国内这种传播方式比较盛行,因为其可以快速继承整个僵尸网络已有的Bot。一个受害主机中存在多种木马,就算其中某一木马的控制信道被防火墙拦截,其它僵尸木马组成的网络将会继续拥有受害主机的控制权。
(3) 捆绑传播:捆绑传播是国内黑客组织一直以来比较青睐的僵尸网络拓展手法之一,黑客通常将木马与正常的游戏软件等打包在一个安装包中,然后投放到互联网上的软件共享或推广平台中,假冒正常软件,诱使用户下载并安装捆绑有木马的安装包,使用户设备沦为黑客的“肉鸡”。捆绑传播不仅能蒙骗互联网用户,其捆绑具有数字签名及安全证书软件的方式还可使木马能有效绕过杀毒软件的查杀。
3.木马详细分析
图2-2 IPK僵尸网络架构
(1)C2配置信息解密
IPK的木马在Client(控制)端生成时就使用了双重异或加密方式对原始C2、服务名称、互斥量、通信密钥、备份文件名称(如图2-3)等进行加密(如图2-4)。除了C2配置使用了加密算法外,木马与C2之间的通信同样使用了该套加密算法,其区别仅在于加密密钥的不同,IPK家族的通信密钥属于自定义类型,但其默认密钥为“encpassword”。
图2-3 配置解密明文
图2-4 IPK加解密算法
该木马为了能长期潜伏于受害者设备并执行非法恶意攻击,会通过操作注册表创建服务项实现备份木马自启动功能,同时IPK作者为了防止木马被调试分析,特意在木马中加入了反调试功能。
(2)执行DDoS攻击
IPK主要可实现6种类型的攻击:syn flood、tcp flood、ack flood、http flood、udp flood、cc flood。
表2 协议数据
表 3攻击类型
三、攻击威胁情报
在安天捕风蜜罐系统对IPK家族的1000多个历史控制节点进行了为期4个月的7*24小时不间断监测后,捕获到IPK家族对全球12个国家(阿根廷、德国、泰国、巴西、土耳其、加拿大、中国、厄瓜多尔、荷兰、法国、瑞士、美国)发起的581次间接性DDoS攻击(如图3-1),其造成了103次攻击事件。同时还监测到攻击者通过IPK的C2(polo.24-7.ro)横向传播Wnlm远控木马(如图3-2),可对Bot进行数据信息窃取。
图3-1 IPK攻击情报
表4 攻击威胁情报top10数据
图3-2 传播Wnlm远控木马
从整体监测捕获到的IPK家族攻击威胁情报上看,IPK家族的僵尸网络目前主要活跃在阿根廷、泰国、美国等国家及地区,对境内并没有造成太大的威胁。但值得注意的是,近日安天监测到境内的黑产组织开始在南方某市部署IPK家族的C2并对境内外的目标发起间歇性DDoS攻击。虽然IPK家族的DDoS攻击类型不及Nitol家族丰富,但IPK家族在通信上使用了双层加密算法,可有效保障IPK家族僵尸网络的通信安全,减轻被监测到的风险,进一步提高其使用安全性。因此,存在境内黑产组织使用IPK家族僵尸网络替换Nitol家族的可能性。
四、防护建议
IPK家族自2012年底开始出现,历经5年的完善,无论在传播手法、使用范围和功能集成方面都可称得上是一个相对成熟的僵尸网络家族,虽然目前并没有在境内出现大规模爆发的状况,但其在部分国家及地区(例如:阿根廷、巴西、德国、荷兰、泰国等)却广泛存在,并且时刻威胁着互联网的安全。因此,我们仍需提高警惕。
在此,安天建议设备管理员及时对相关设备进行升级或强化用户密码,警惕来历不明的非正常邮件,更不要下载并运行这些邮件的附件,以避免设备沦为攻击者的傀儡甚至威胁内网信息安全。同时,安天将持续跟踪关注此僵尸网络家族,进行及时分析与预警。