QBOT变种近期活动及分析
彼时,Mirai与QBOT先后在GitHub上公开了源代码,对IOT安全产生了巨大的影响,在此前Mirai的感染过程中还主要针对QBOT做了一系列对抗的行为。
近期绿盟威胁情报中心(NTI)研究团队捕获到了首例结合Mirai扫描特征的QBOT变种,同时该变种还增加了多个漏洞利用进行传播。
从其传播的方式可以看出,该变种主要是针对路由器、家庭网关设备进行攻击,目标群体为网络质量较好的互联网用户(包括商户,企业,对网络要求较高的个人用户)。
按照绿盟威胁情报中心(NTI)对QBOT及其变种的监控情况来看,近期捕获的QBOT变种较多,表明其活动较为活跃,处于构建僵尸网络的阶段。
1、增加了Mirai的扫描及加解密模块;
2、增加了CVE-2014-8361、CVE-2015-2051、CVE-2017-17215以及D-Link 2018-05-15披露的D-Link DSL-2750B;
3、出现了多种上线信息,表明攻击者可能非同一团伙;
4、对命令的修改各有不同,在命令中找到了update指令,但是攻击者并没有将其完整实现,仅仅是提供了命令字符,具有持续关注的价值。
与Mirai相似的代码结构,以及完整的复用Mirai的扫描代码,因此大多数杀软将其识别为Mirai。
弱口令也通过与Mirai相同的方式进行加解密。
此次捕获到的QBOT增加了漏洞利用的部分,包括:
命令控制及上线:
利用QBOT的全部命令格式,将命令分割符变换为”.”。
缩减命令字长度:
同时最近几日接连捕获到QBOT变种,拥有不同的上线信息:
[HAKAI] Connected [ ARCH:%s ] [ HOST:%s ][0m [1;36m Sex[1;31m Demon Connected!!:%s Arch:%s[34m BUILD %s:%s BU1LD IP: %s BUILD: %s |
但这些变种中没有扫描或者漏洞利用的部分,仅通过telnet弱口令进行一次投递传播。
每个变种对命令字都进行了修改。在最新的一个QBOT中,已经出现了更新字段,但仍然没有实现完整。
随后,我们捕获到了一些攻击数据,几分钟内就出现了多个UDP Flood、STP Flood攻击,攻击者目前极度活跃:
关联样本:
327798AB42D8280822D911B9138B4B7B-exploit
51C9CE815047A53C8E374DE95D364CE5-x86_64
7F5D3C30DC16C572F96108DBAA234191-x86_64
4A39B5A06935F6371212D3028551EC40-mips
受攻击IP:
23.*.*.147
8.*.*.8
C&C IP:
212.*.*.71
138.*.*.15
209.*.*.21
内容编辑:威胁情报中心 责任编辑:肖晴
往期回顾
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我们