ZHtrap 僵尸网络:它是如何工作的以及如何防止它

安全资讯 小布 402浏览 0评论

一个名为 ZHtrap 的新僵尸网络正在部署蜜罐以捕获来自其他僵尸网络的攻击,并使用该信息来劫持他们的基础设施。来自 Netlab 360 Team 的安全研究人员最近发现了一个名为 ZHtrap 的基于 Mirai 的僵尸网络,它实施了一种蜜罐机制来寻找更多受害者并利用它们在野外发起强大的攻击。

NetLab研究人员介绍,“ ZHtrap源代码基于Mirai,支持x86、ARM、MIPS等主流CPU架构。” 下面的表 1 显示了在僵尸网络活动期间为危害其他系统而探索的一组漏洞 (CVE)。

漏洞 描述
VisualDoor SonicWall SSL-VPN 漏洞利用 今年 1 月初,一个 SonicWall SSL-VPN 远程命令注入漏洞曝光。
CVE-2020-25506 D-Link DNS-320 防火墙远程代码执行 (RCE) 漏洞。
CVE-2021-27561 和 CVE-2021-27562 Yealink Device Management 中的两个漏洞允许未经身份验证的攻击者以 root 权限在服务器上运行任意命令。
CVE-2021-22502 Micro Focus Operation Bridge Reporter (OBR) 中的 RCE 缺陷,影响版本 10.40。
CVE-2019-19356 Netis WF2419 无线路由器 RCE 漏洞利用。
CVE-2020-26919 Netgear ProSAFE Plus RCE 漏洞。

表 1:  ZHtrap 在其活动期间探索的 Set o 漏洞 (CVE)。

僵尸网络为犯罪分子配备了新功能,使该恶意软件成为一种强大的网络武器。具体来说,这个恶意片段的改进包括 验证交易及其活动的校验和机制、区分真实设备和部署的蜜罐(恶意的)的机制、 基于 XOR 算法的新加密层、转换受感染的设备进入蜜罐,  实现了一些在 Matryosh 僵尸网络上也观察到的机制。

下面的图 1 显示了 ZHtrap 僵尸网络和工作流程的高级图。

图 1:  ZHtrap 僵尸网络的高级图(来源)。

作案手法

一般来说,蜜罐模拟真实系统,当它与系统交互时,可用于获取有关入侵企图、收集工件、IoC 甚至犯罪分子作案手法的信息。

ZHtrap 僵尸网络使用类似的技术来收集有关攻击者基础设施的详细信息,并将新设备变成蜜罐。僵尸网络能够收集和扫描 IP 地址(使用其蜜罐功能)以传播恶意代理并感染新设备。通过这种方式,它等待 23 个硬编码端口上的新连接来识别连接到这些端口的所有 IP 地址。然后,它使用表 1 中列出的一些漏洞检查获得的 IP 地址,最终将最后一个恶意负载注入远程系统。

“ZHtrap的传播使用了四个N天漏洞,主要功能是DDoS和扫描,同时集成了一些后门功能,”

(…)

“Zhtrap 在受感染的设备上设置了一个蜜罐,[并] 为受害设备拍摄快照,并根据快照禁用新命令的运行,从而实现对设备的独占性”,

下面的图 2 展示了 ZHtrap 如何使用 IP 收集模块来收集新的候选对象。此外,还列出了在二进制文件中硬编码目标端口的代码块。

图 2:  ZHtrap 如何使用 IP 收集模块和二进制文件()中的硬编码端口

深入挖掘细节

除了 DDoS 攻击和扫描活动感染更多目标之外,ZHtrap 还配备了后门功能,将这种恶意软件变成了一个强大的武器。据 NetLab研究人员介绍,ZHtrap 的具体功能包括:

  •    过程控制
  •    倒车壳
  •    DDoS 攻击
  •    远程登录扫描
  •    利用传播
  •    将受感染的设备变成蜜罐
  •    下载并执行有效载荷

“ V1,V2和V3:当前捕捉ZHtrap样品可以根据其功能可分为三个版本。V2在v1的基础上增加了漏洞利用功能;v3 在 v2 的基础上删除了网络基础设施”,研究人员说。

图 3: 关于 ZHtrap 僵尸网络不同版本的网络流量(来源)。

通过在新候选中绑定本地端口来创建单个实例。ZHtrap 然后解密资源信息并将目标进程重命名为:  /bin/ZoneSec。每次进程终止时,都可以在设备的控制台上观察到以下消息:


ZHtrap 恶意活动继续执行网络请求以获取资源服务器的地址以启动扫描和传播模块。因此,bonet 启动 23 个硬编码端口,将设备变成蜜罐并等待来自其他受感染设备的活动。

图4: 获取资源服务器(地址的过程

最后,恶意软件与 TOR 命令和控制 (C&C) 服务器通信并等待发出的命令的执行。

准备和理解 ZHtrap

如今,各种攻击和威胁的数量和复杂程度都已经出现。从这个意义上说,ZHtrap 实施了一种查找易受攻击的设备以使用它们来传播其恶意代码的策略。

很明显,正如 APNIC 的报告所指出的,ZHtrap 的创建者有一些特定的想法。一般情况下,有几个僵尸网络实现了类似蠕虫的扫描传播方法,当访问 ZHtrap 的蜜罐侦听端口时,源 IP 地址可能被标记为已被另一个僵尸网络感染的僵尸网络设备。通过这种方式,ZHtrap 试图找到设备的易受攻击的入口点来重新感染它,但现在随着 ZHtrap bot 的开放,这是一个新的机会来瞄准新设备、网络并扩大恶意范围。

从防御的角度来看,这些僵尸网络产生的恶意流量可以通过网络安全设备、防火墙等轻松检测到。因此,密切关注网络流量和监控系统并开始认真对待恶意软件保护至关重要。

转载请注明:布尔云安的博客 » ZHtrap 僵尸网络:它是如何工作的以及如何防止它

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址