首頁 > 關于我們 > 新聞動態 > 深度解讀

種族主義底色:新生物聯網僵尸網絡HitlerBot揭秘

發布時間 2024-08-09
2024年7月中旬,在參與國家重點研發計劃項目“大規模異構物聯網威脅可控捕獲與分析技術(2022YFB3104100)”的研究過程中,我們發現一個比較有意思的物聯網僵尸網絡。

在公開樣本情報平臺上,各家AV普遍將其識別為Mirai/Gafgyt。但在實際家族歸因分析時發現,它的通信協議以及和C2(Command and Control,命令與控制)交互部分代碼與Mirai/Gafgyt存在差異,這引起了我們的關注。經過分析,我們最終確認,它是一個新生的物聯網僵尸網絡。

有趣的是,該僵尸網絡樣本運行后,會在Console上打印字符串"All hail Hitler!",意為“希特勒萬歲”。同時,它的C2域名也包含“集中營”等充滿種族主義的單詞。因此,我們將該僵尸網絡命名為HitlerBot。

技 術 分 析


1、基本信息

HitlerBot仍基于Mirai源碼進行二次開發,對通信交互以及C2控制命令部分進行重寫。如:不使用原有的attack_init、attack_parse等函數;同時,所有字符串,包括C2服務器,Telnet弱口令表,C2通信內容都統一采用RC4算法進行加密等;


同樣的,HitlerBot也進行了多平臺適配,7月15號舊版本支持x86、arm、mips、mpsl和sh4等CPU架構,在8月5號更新后,新增支持arc和ppc。


2、攻擊目標

在目前監測到的攻擊活動數據中,HitlerBot的攻擊目標集中于歐美地區,尤其集中在美國、德國、加拿大,攻擊目標分布如下:


圖片1.png


在目前捕獲的HitlerBot樣本數據中,暫未發現漏洞傳播方式,均使用telnet弱口令進行傳播。


共硬編碼59個RC4加密的telnet弱口令,大多數都是常見的弱口令,如admin:1234、root:1234等。但也有些是特定物聯網設備的弱口令,如下:


圖片2.png


行 為 分 析


1、初始化

為對抗沙盒等模擬環境的自動化分析,HitlerBot運行時首先會檢查啟動參數,以確保自身的安全性。如果不攜帶參數,則直接退出。


當有參數時,則進入執行流程:刪除自身、監聽59315端口以實現單一進程實例、RC4解密資源、開啟telnet掃描,隨后和C2建立通信并等待執行C2下發的DDoS命令。


2、C2服務器

HitlerBot同時使用OpenNIC和ICANN域名作為自己的C2服務器,實現了某種冗余機制。共硬編碼5個RC4加密的C2域名,2個OpenNIC,3個ICANN,如下:


圖片3.png


HitlerBot會隨機選擇兩種域名里的一個,進而通過不同的處理去獲取對應IP。對于ICANN C2,直接向8.8.8.8這樣的dns服務器請求解析即可,如下:


圖片4.png


共有5個常見的dns服務器:8.8.8.8、1.1.1.1、208.67.222.222、9.9.9.9、77.88.8.8。


而OpenNIC是獨立于ICANN的另一套域名體系,必須通過指定的NameServer進行解析。HitlerBot共硬編碼了10個NameServer,如下:


圖片5.png


10個NameServer分別是94.247.43.254、195.10.195.195、152.53.15.127、194.36.144.87、178.254.22.166、81.169.136.222、151.80.222.79、51.158.108.203、138.197.140.189、51.83.172.84。


從7月15號到28號,域名所綁定的IP穩步增加,從最初的4個IP增加到14個。且各個IP分布很廣,如下:


圖片6.png


7月28號之后,上述C2域名所綁定的IP很快收斂為4個,且一直穩定保持至今。如下:


圖片7.png


有意思的是,C2域名單詞和德國納粹有關。如belzec(貝烏熱茨),majdanek(邁丹尼克),treblinka(特雷布林卡),auschwitz(奧斯威辛),都是當年納粹建立的集中營滅絕營。而hiroshima是日本廣島,這都顯示攻擊者似乎是一個狂熱的種族主義者。


3、通信協議

HitlerBot和C2的通信協議并不復雜,以上線數據與攻擊指令為例:


3.1 上線數據


圖片8.png


Step1:Bot→C2

向C2發送上線數據,包括32字節的硬編碼的數據,傳入的參數,以及admin權限標志。上線數據RC4解密如下:


圖片9.png


其中,前32字節是硬編碼的字符串“5h-,D*f9VCjve}7+@;!2SF@g-x--w+.(”,“selfrep”是運行時傳入的參數?!?”是指以admin權限運行的,否則是“0”。

Step2:C2→Bot

C2向Bot返回心跳包“\xe8\x47”,RC4解密后為“>>”。


Step3:Bot→C2

Bot回復C2的心跳包是“\xea\x45”,RC4解密后為“<<”。


至此,HitlerBot上線成功,開始等待執行C2下發的DDoS指令。


3.2 攻擊指令


HitlerBot的DDoS攻擊目前并不活躍。截止到8月7號,我們共捕獲到100多次DDoS攻擊指令。DDoS攻擊指令同樣RC4加密,如下:


圖片10.png


RC4解密后:


圖片11.png


DDoS攻擊指令有且僅有7個參數,各個參數以空格分隔。具體命令格式為:


圖片12.png


以上DDoS攻擊指令“0 198.251.xx.xx 60 1194 0 1400 (null)”為例,解析如下:


圖片13.png


其中(null)是攻擊payload數據。如果第1字節0x28即"(",則生成隨機數據作為payload。如果不是,則直接拷貝作為攻擊的payload數據。


圖片14.png


也就是說,發起DDoS攻擊時,既可以指定payload數據也可采用隨機垃圾數據。


那么,上述攻擊指令即是對目標198.251.xx.xx:1194,發起udp plain flood攻擊,持續60秒鐘, payload為1440字節的隨機數據。攻擊流量如下:


圖片15.png


HitlerBot目前支持2種協議(tcp、udp),共7個DDoS攻擊類型,包括udp_plain_flood、tcp_syn_flood、tcp_ack_flood、tcpstomp_flood、greip_flood、greeth_flood。具體如下:


圖片16.png


攻擊類型0x30和0x33都是發起tcp_syn_flood攻擊,但是有細微區別,0x33會設置tcp options頭數據。如下:


圖片17.png


但是0x33的代碼實現存在Bug,tcp options頭會被隨機數據覆蓋。假設代碼沒有Bug,那么攻擊報文里tcp options頭數據預期如下:


圖片18.png


總 結 


截至到目前為止,HitlerBot的DDoS攻擊目標一直很聚焦,被攻擊IP主要集中在美國和德國,沒有對全球的IP發起廣泛的攻擊。而且時隔多天,會對同一個IP發起多類型多批次的攻擊。


我們還觀察到,很多被攻擊IP本身就是其它家族的C2設施。也有些確認是游戲服務器。因此,我們傾向于認為,僵尸網絡運營者主要使用HitlerBot打擊其它競爭對手,順帶攻擊一些其它目標。


目前,HitlerBot還在持續更新,但整體變化很細微。我們會繼續跟蹤觀察,注意它的攻擊目標以及代碼的變化。


IOC


C2:

belzec[.]dyn

majdanek[.]dyn

treblinka[.]camdvr[.]org

auschwitz[.]accesscam[.]org

hiroshima[.]accesscam[.]org


Download URL:

77.90.35.96
91.92.249.160
147.78.103.162
154.216.17.96
154.216.20.232
185.142.53.18


SHA256:

33db4c4bc5f30706093108de1712481c90ddefff8591cfd7b0130963dbb9ec08

fee4dbe6f0d6b8ea1f8bec922f733161a133b5baaea2f6dd49d9b484eecbf7e1

4cc9e209a0b690434b0f9623c2b6b41cac3b166eea0bd474366fb3d9390c6c61

1ac7e2cd354d8386e0096d302ccd0ff8499137002a553b65c74a14d0552a5696

42ed4015f32590ae326bf730bc3bf3bb2f7ab7dab82770bf13c19a364b259703

ec59972f15c08de1507dc053a46c0dae7565b709af839af5d2b69d2f6d9cb3e0

fad1b833149894d19f99ec914464af02016334e4ea2a62a80d50522a33333726

b7c7a4dee6bed6c4d3c8be8d7cccc6af7f5e33a8eca1ab4a30fe07362ce45793

b43bef47d26a11bb8b75c0a12813de846f86db8e5502d65481b18680bad74de2

4183ba9b3c0717d0ea4d737143c337f23e037509a604313ac20247f667628c0c

e5f9384855f2a99c4f3b5fbf2129e54824a28f27b253787b6bf355cc9fbee797

4b40ecdd26ef8e9c63cc62ab34dd29d882cbbc92ccdd9eba28f3c1d7e2d5cbc0

b11b09b9a81d14e00a85acba47051d22c41f78a09f123f3f871eb6924d0fd57f

9982d28eb086b6561553c05b3c195d2a130ca7d32bebd95bf5aebac61ab29e79

1d5d474b2cfd8d8cd5f8c16153ff9168d351b897017b2f612841b34bbbd4b0fe

4b94882c3bb95890108bdebae22669d2acccb4880181b2428bf671f8dfce33c1

387dee43109a620d71fd2b88c9646d35d52ca77d6db34105706a2d81a0159962

e078da30e3993b9846ecdb961f7a626b153be167cb570e9d9bb1ba216ca1019c

a09a07f779876b68088b0ad65b23690b32f4c2f1eb2aba3be0e6cce0fb63a6f1

e62de54649ac76b34708f3482cc4e868c1d884da262270192e481832b4e670c0

647041be69db0e764e1070646149d239d3683d9b94dd6ce870949dec009a13a6

838ead1e693233583cd4f7e293cbd1a52591ab999e867d1a603690c1846a99a0

3034614a3eedcaf8ddcc45552c90672578acd3bdd81d338e5e95565723f1028c

b573bb8d206af9b54feefa2d9395f21d3d93d2607fb52ccbcc3a729ccd2c43ae

99c421a12877dda5391d169c35a0eda5ae3c395ddc6164fb78b1c59fe76f60f7

b6d7dc952045928b7e65859d88f56d1740e206cd8762c3a6506351a50c6ab07a

74a3bc2014d69b1f22c50b74ce74938effbf0ffb7c3e2d74ac695327160f49f0

a8aa6adbeef2872bc702af915cf133f0f6d422c3a59cd454cb32d756dae4fdfa

037b5585f0fb643ec6ab1ea716b18cd9f3f4deb6d10c62db96665689d9b698d6

1d01f2fee907256041312be6311a292bc52d0acafed30f89445b77c27cbff96a

89bf166cdfd081eeda10e4bdd99378f5edbbcea8eb9f6b6508034a6f796c37ba

8aec8cacce434f3076c4e2490a7c49bd6e2656eda9595c14f5d215ef1faff762

4838fd892897cb2aa27c512e84b20f9ddf8342813594bdeda905b06991c344d6

02c80467f06c920d270d95136393fae5ebd6aa9f8378706c3117f010601f17b1

f2cfa5c7f600037fbd64c87d6aa09e2555643b1887f1a0841f321aa0ca735b83

401cb16b34fcdd7bc504e75406497d5170912168db122142883ee7fe8b634c0b

7949fffa699bf05ad1650c4ab85d93e933fd7a0156aed725c194eeee6fcc83b1

c4272e1092da221f55637a44d8c1a18ffdd432d68ea51f1a38645611ee19e1c1

87eded1fd0b455b5e4c31d42a9888811cbf0d88fcd180892706088a17bb15454

ce5ea745827f4b90538389dc99d5f0d5ea1a9e1e7cacfbe7e1da0a2a3315c7e2

5c2ea43298a6c72fb49c6ecdfdc1ab4f631ecf3dadf6f4c4c13e596fcd986c0b

bf4fb9f0ef0237da5ec130910c69f2c5aeff9a498c11d9b9943639aabaa15b12

81b68c0c3656652296c076c4299e2f6adc5f028b8356199b871b6180ba0a4efa

1efa24755fa81752df032a1344032ce4a04922d9320afda5e7bdfbf9239811e4

07b2d537b42c9a4e10acc47b8912426c0c6a770102c6a418df6f0dba1768dd05

f52b7e39cfbb72286bc87fb65eebfcc6a07f2630b6ad51887e0c4753dafdbf24

8789153e2848877bf52d6291cc34490dfac43e86ed75de312d0c7712bc8eea48

ebdbd4b16d1c62a538be0491bd67c636ac463d47dc7159c813560be384970931

e1501dd27b84c3c57238b38b1a547e21b85228335d84c3b68c9e9a4e942e6baf



關于“大規模異構物聯網威脅可控捕獲與分析技術”項目


啟明星辰是國家重點研發計劃項目“大規模異構物聯網威脅可控捕獲與分析技術(2022YFB3104100)”課題一“異構物聯網僵尸網絡威脅感知關鍵技術及系統(2022YFB3104101)”的核心承擔單位之一。項目及課題均由廣州大學網絡空間安全學院牽頭,旨在構建大規模物聯網攻擊威脅主動防護能力。
上一篇 下一篇