Bad Packet 测量在野 IoT 僵尸网络活动

工作来源

GLOBECOM 2021

工作背景

典型的 Mirai 是集中式而不是分布式（P2P）的，如下所示：

各角色分工为：

• Bot：被攻陷的物联网设备
• C&C：向 Bot 发出指令的命令与控制服务器
• Scanner：扫描发现特定服务/设备
• Report：记录扫描结果、活跃 Bot 与可用凭证的服务器
• Loader：从 Report 服务器获取扫描结果与凭据，在设备下载恶意样本
• Malware：部署恶意代码提供下载的服务器

扫描通常可分为：

• 垂直扫描，同一个目标扫描多个端口
• 水平扫描，同一个端口扫描多个目标

现代僵尸网络表现出垂直扫描与水平扫描混合的特性。

工作准备

• 使用 MaxMind 作为地理定位数据
• 使用四个 IP 黑名单（Spamhaus、Barracuda、Spam Open Relay Blocking System、Composite Blocking List）
• 使用 Bad Packet 十一个全球蜜罐（美国 7 个、俄罗斯 2 个、巴西 2 个）

通过首个 TCP SYN 包的序列号等于 IP 地址的特征确定 Mirai 类的活动。

2020 年 7 月至 2021 年 2 月，收集到遍布 203 个国家/地区的 7265 个自治系统中 422003 个独立 IP 地址的 1599647 次连接尝试。

感染者总量前十五位的国家/地区如下所示，前五位的国家/地区总计占到了总量的 60%。

按照自治系统的口径进行统计，前十位的自治系统总计占到了总量的 56%。

工作评估

扫描

目标端口 TOP 10 如下所示，Mirai 的源码中会主动随机扫描 TCP 端口 23 与 2323。可见攻击者现在不仅局限于此，对各种 HTTP/HTTPS 服务也不放过。

低熵值表示 IP 地址只扫描很少的 TCP 端口，高熵值表示 IP 地址随机扫描很多 TCP 端口。分布如下所示，可见大部分 IP 地址的熵值还是比较低的，说明很多都是只扫描特定 TCP 端口与特定服务的。

如下所示，统计分析每个扫描与唯一端口的数量。每个扫描源最多扫描 15 个端口、最少扫描 2 个端口。

感染

大多数利用的漏洞都是 DVR 的 RCE 漏洞，有些设备甚至七年都没有打补丁。

569 个 IP 成功实现了入侵，其中近 400 个 IP 地址都传播 Mozi 的。

活跃

大部分 IP 地址的活跃时间都小于十天，这些 IP 地址在 0-8000 的范围内对 2063 个不同的 TCP 端口进行扫描。而长时间活跃的 IP 地址仅扫描 47 个不同的 TCP 端口，最长超过了两百天。

IP 信誉

Spamhaus 拥有数据集中 79% 的 IP 地址、SORBS 有 24.5%、Barracuda 有 23.6%，CBL 的命中率最低只有 6%。

黑名单列表还是在针对特定自治系统时会更有效，可能是特定位置的可见性更高。

列出的相关 IP 地址有 6% 过去被标记为恶意软件，有 0.58% 涉及垃圾邮件传播。

工作思考

Bad Packet 通过全球分布的蜜罐，在长达七个月的时间里分析在野僵尸网络活动。经常看 Twitter 的应该很熟悉 Bad Packet 了，可以认为是 GreyNoise 的同类，下次有机会也写一下 GreyNoise。

通过数据可以看出，Mozi 的量是非常大的，实际上即使到现在 Mozi 也是死而不僵。其次 Beastmode 的量也非常大，这一僵尸网络也一直活跃至今。僵尸网络的攻击者除非被捕，否则是不会放弃控制的，会持续更新进行规模扩张。