Bigviktor
2020 年 6 月,绿盟科技伏影实验室威胁捕获团队,根据 CNCERT物联网威胁情报平台及绿盟威胁 识别系统监测数据,检测到数例针对 DrayTek Vigor 路由器 的漏洞利用入侵事件,并确定此传播利用了 CVE-2020-8515 漏洞。根据捕获的流量,在攻击 payload 在执行过程中,还触发了大量疑似 DGA的流量。 经深入分析,我们发现这是一款全新的僵尸网络木马,可进行 DDoS 攻击及自更新。功能方面,该木马仍采用了传统的 DDoS 攻击模式,但作者未完成所有的功能设计 ,部分攻击指令 对应模块为空,为未来扩展做下铺垫。图 12 BigViktor 主要 C&C通信流程 Bigviktor 通过 RC4 解密内置的 DGA词组字典,实现与 C&C的通信。经解密,我们发现其词组包含 了 100 个动词 (Verb)、1522 个名词 (Noun)、525 个形容词 (Adj)、40 个前缀 (Prefix) 和 20 个后缀 (Suffix), 最终形成的域名格式为 Prefix.Verb-Adj-Noun.Suffix。
表 4 Bigviktor DGA 算法关键词一览
| Verb | Noun | Adj | Prefix Suffix | ||||||
|---|---|---|---|---|---|---|---|---|---|
| be | a | able | cam | art | |||||
| have | ability | acceptable | video | click | |||||
| do | abroad | according | x | club | |||||
| say | abuse | accurate | a | com | |||||
| go | access | action | www | fans | |||||
| get | accident | active | ftp | futbol | |||||
| make | account | actual | ssl | ||||||
| in | know | act | additional | tftp | info | ||||
| think | action | administr | |||||||
| ative | www1 | link | take | active | adult | www2 | net | ||
| see | activity | afraid | noc | nl | |||||
| come | actor | after | smtp | observer | |||||
| want | ad | afternoon | pop | one | |||||
| look | addition | agent | ssl | org | |||||
| use | address | aggressive | secure | pictures | |||||
| find | administration | ago | images | realty | |||||
| give | adult | airline | th | rocks | |||||
| tell | advance | alive | img | tel | |||||
| work | advantage | all | download | top | |||||
| call | advertising | alone | xyz | ||||||
| try | advice | alternative | remote | ||||||
| DGA域名需要 key 经过简单运算并拼接来组成,key 来自于访问 RC4 解密后的特定网址所获得的日 期(格式为 %b %Y 00:00)经 SHA256 运算后的前 4 字节。 |
表 5 用于获得时间 KEY的特定网站一览
| jd.com | weibo.com | vk.com | csdn.net | okezone.com | office.com | xinhuanet.com |
|---|---|---|---|---|---|---|
| babytree.com | livejasmin.com | twitch.tv | naver.com | aliexpress.com | stackoverflow.com | tribunnews.com |
| yandex.ru | soso.com | msn.com | facebook.com | youtube.com | baidu.com | en.wikipedia.org |
| twitter.com | amazon.com | imdb.com | reddit.com | pinterest.com | ebay.com | tripadvisor.com |
| craigslist.org | walmart.com | instagram.com | google.com | nytimes.com | apple.com | linkedin.com |
| indeed.com | play.google.com | espn.com | webmd.com | cnn.com | homedepot.com | etsy.com |
| netflix.com | quora.com | microsoft.com | target.com | merriam-webster.com | forbes.com | tmall.com |
| baidu.com | qq.com | sohu.com | taobao.com | 360.cn | tianya.cn | |
| 因此可知,每个月产生的 DGA域名都是不同的,且数量达到千余条。 |
图 15 Gobrut 针对 WordPress 网站的暴破 / 扫描指令占比
在受到暴破尝试攻击的网站顶级域名分布中,com 占据近一半数量,剩下的部分大多是各个国家的 顶级域名,这从某种程度上反映了当今 WordPress 网站的分布。
图 16 受 Gobrut 攻击的 WordPress 网站顶级域名分布
此外,该家族还有着一定的子域名搜集能力。伏影实验室发现,在扫描指令给定的目标中,不乏一 些超长的多级子域名,最多甚至高达 19 级,如下图所示:
图 17 受到扫描的超长多级子域名
这表明攻击者很可能使用了子域名暴破手段来进行子域名挖掘。子域名暴力破解指的是通过自动化 枚举的方式来探测某域名拥有的次级域名。由于子域名在渗透中可能成为突破口,所以受到攻击者的青 睐。
由此可见,Gobrut 的控制者在后台拥有较为完善和健全的域名采集和挖掘机制,并利用分布式僵尸 网络在海量基数的域名条目中发现脆弱网站,进行非定向的无差别攻击。
