【安全资讯】Pink:超大规模的物联网僵尸网络
引言
2019年12月,研究人员发现了一起大规模的物联网安全事件。黑客通过入侵某网络运营商的家庭用户设备并植入恶意程序,持续地使这些设备变成新的僵尸节点,进而构建起了一个超大规模的僵尸网络。在逆向该恶意程序的过程中多次出现“pink”字符,所以将其命名为Pink僵尸网络。这次攻击事件中受控的设备数量特别巨大,是历史上已公开领域内的规模最大的物联网僵尸网络。
简况
运营商的家庭用户设备在设计、研发、制造等阶段,需要采购第三方组件,以完成产品功能。由于程序设计不严谨、安全测试不充分等原因,有些组件含有软件或硬件缺陷。这些缺陷在没有暴露之前,叫做0-day漏洞或零日漏洞(没有暴露——0-day,暴露1日——1-day,暴露多日——N-day)。此次事件中,黑客就是利用了设备生产供应链中的某些组件的0-day漏洞,入侵了多个品牌的家庭网关类设备,并在设备上植入了恶意程序。因为在该恶意程序的二进制逆向结果中,多次出现“pink”字符,所以将其命名为Pink。
PinkBot是一个同时融合了“P2P”和“CNC”的混合结构僵尸网络。一般情况下,它将时效性要求不高的指令(如管理配置信息)通过P2P的方式传递,将时效性要求较高的指令通过CNC模式集中分发。
Pink恶意程序从功能上可以划分为3个模块:植入、驻留、控制。当Pink恶意程序被植入设备并运行后,它会主动封堵设备的自动升级通道,大大增加了应急处置和在线修复的难度,危害程度极高。通过对该事件的深入分析,研究人员认为此次攻击事件已经超出了僵尸网络的范畴,是一次高级定向攻击事件。
除了保证配置信息的机密性和完整性外,攻击者还使用了多种手段来分发配置信息,以确保其可用性:
- 通过第三方服务分发配置信息:通过 BTC+GITHUB 分发配置信息、通过某中文社区分发配置信息;
- 通过 P2P 方式分发配置信息:P2P-Over-UDP123 分发配置信息、通过 P2P-Over-TCP 分发配置信息;
- 通过 CNC 分发配置信息。
PinkBot 指令具有丰富的控制能力,包括:
- 文件下载
- 系统命令执行
- DDoS攻击(HTTP攻击和 UDP 攻击)
- 扫描功能(扫描的具体内容可以通过指令设置)
- 汇报设备信息(CPU/系统类型/内存信息/系统版本/硬件信息)
- 自身更新(将新版本保存到 /tmp/client 后运行)
- P2P节点列表同步(直接推送一组P2P节点到Bot)
- http报文注入广告(在受害设备上,嗅探交互报文,遇到http网页时,插入广告js脚本)
- 启动sock5代理服务(在Bot端架设 Socks5 代理服务,账号密码通过指令设置)
- 下载文件并执行
- 停止攻击
- 重置watchdog
影响范围
根据NetFlow监测、主动探测等多个维度的数据测算,Pink僵尸网络曾经连接的IP地址数量超过五百万。通过对这些IP地址的定位数据进行统计发现,这些IP主要是某运营商的家庭用户地址。然而家庭用户的IP地址是动态分配的,IP背后已感染设备的真实规模无法被精确估计。
2020年初的监测数据显示:在不到1分钟的时间内,向控制服务器C2发起连接的感染端IP数超过百万。另据所涉运营商和设备厂商的初步评估,被黑客入侵并控制的设备数量在数百万级。综上,依据多方独立的测量结果,研究人员认定Pink僵尸网络控制的节点数量在其峰值期超过百万。
根据所涉运营商和设备厂商的初步评估,被黑客入侵并控制的设备数量超过百万,其中96%以上的受害者分布在中国境内。根据感染IP地址的定位数据,被感染设备主要位于北京(18.8%)、山东(16.4%)、山西(12.6%)、浙江(12.3%)等
总结
物联网0-day漏洞正在被黑客用来入侵形形色色的网络设备。随着万物互联时代的到来,物联网设备已经成为黑产组织甚至高级持续性威胁(APT)组织的重要目标。虽然Pink是迄今为止发现的规模最大的僵尸网络,但是它绝对不会是最后一个。
