当地时间 10 月 7 日清晨,加沙地带的巴勒斯坦武装组织哈马斯向以色列境内发动大规模火箭弹袭击,以色列包括特拉维夫在内的多个地区都拉响防空警报。随之拉开了新一轮激烈的巴以武装冲突的序幕。几天之内,双方死伤人数已达数千人。
随着现实战场的开启,网络世界的活动也随之增加。
在俄乌冲突中声名赫赫的网络攻击组织 Killnet 官宣加入战局,还有疑似 Anonymous 组织发起了代号为 “Anonymous Sudan” 的攻击行动。除此之外,很多此前不太知名的攻击组织也都加入战局并站队,甚至印度的黑客组织 India Cyber Force 也宣称打瘫了哈马斯的官方网站。
奇安信威胁情报中心一直在对网络上热点的攻击活动做监测与分析,在我们视野内,近几天针对以色列目标的 DDoS 攻击比针对巴勒斯坦目标的攻击更为猛烈,而且攻击者疑似早有准备,在现实冲突开始前就准备好了 C&C 基础设施,并开启了一轮僵尸网络传播、构建的活动。
针对以方的 DDoS 攻击
以色列受 DDoS 攻击的目标主要有大型 ISP、政府部门官网、银行、能源公司、媒体和军事防务相关的公司,我们整理了一份详细列表:
可以看到这些攻击集中在 10.08-10.10 三天,正好是紧跟在现实武力冲突发生之后,其中以色列政府官网在 10.08 和 10.10 分别被两个僵尸网络(Mirai 和 bld)攻击。针对以色列重要目标,Mirai 僵尸网络 C&C api.tcprestt.top:60195 发起了最多的攻击。
针对巴方的 DDoS 攻击
针对巴方的 DDoS 攻击我们看到的较少,只在 8 月底检测到加沙地带电力公司官网被一个内部命名为 mirai_cha 的 Mirai 变种僵尸网络攻击。其次就是在 10.08 日,巴勒斯坦第一家 ISP 服务商 Jawwal 被一个 Mirai 僵尸网络攻击。
凑巧的是,同一个 Mirai 僵尸网络 C&C 78.142.231.111:666 在当天还攻击了以色列的两个目标,可以猜测这只是个 DDoS 攻击租赁平台,没有站队,为了利益可以两头通吃。
僵尸网络案例分析
上文可以看到Mirai 僵尸网络 C&C api.tcprestt.top:60195 发起了针对以色列目标最多的攻击,这引起了我们的注意。
网络资产分析
在我们的 TI 系统可以看到,其 C&C 域名 api.tcprestt.top 注册于 2023.08.21,
并且最早于北京时间 10.1 日配置 A 记录解析到 IP 185.150.26.248
另外,该 C&C 域名目前还有 3 个兄弟域名,但这三个兄弟域名目前都启用了 CloudFlare 提供的 Anycast 服务:
根据我们的 PDNS 数据,该 IP 今年以来都没有绑定到明显恶意的域名,由此可以猜测该 C&C 域名和 IP很可能是攻击组织新注册到手的资产,难以据此关联攻击组织以前的网络资产:
样本与传播分析
经过我们的回溯分析,发现与此 C&C 关联的 Mirai 样本在 9.29 深夜开始通过 Telnet 服务暴破来传播,以下是我们的威胁监控系统监测到的该僵尸网络近期传播趋势:
该家族本次传播的样本通过恶意脚本 hxxp://185.150.26.248/web-api.sh 下发,服务端文件名为 Mddos,落盘文件名为 loudscream(中文:“尖叫”):
经过对样本的进一步分析,我们确认该家族为 Unit42 今年早些时候曝光过的 Mirai V3G4 变种。首先,木马样本运行之初,会在控制台打印字符串 “xXxSlicexXxxVEGA”,在木马确认了单例执行之后,还会继续在控制台打印字符串”We got this shit already”,同时,这两个字符串都是存放在内部加密数据表中,分别为第 1 项和第 2 项,这与 Mirai V3G4 一致。
与 Mirai V3G4 一致的特性还有,相同的加密表XOR Key 0xE63A69BC
以及相同的 Telnet 暴破用到的弱口令 XOR 加密 Key 0x37
不同之处是当初 Unit42 曝光时其用了多种漏洞来加速传播,本轮传播只使用了 Telnet 暴力破解的手段来传播。
组织背景
通过对事件域名 api.tcprestt.top 进行溯源分析,该C&C地址属于一个名为 Kaisen 的DDoS租赁团伙。但此次针对以色列的攻击事件并非是租赁攻击服务的客户发起,而是来自 Kaisen 的 botmaster,在聊天中可以明确该名黑客的站队立场:
总结
本轮巴以冲突未来的趋势不明,但可以预见的是,网络空间的攻击会伴随物理空间的冲突结束,甚至一直持续下去。我们也会对巴以双方阵营在网络空间的较量持续关注。
IOCs
MD5
068fff4ee2082dd21bf45bdd443e848e
259b5dd05e01a4785b22d6cf430be69a
657b9253080b2cf4a6e91d1023ae61c8
f150b954946f9d5bbda6239a41b7f2f2
398d4d16ff51d39ab3ea5559f2ea8ace
a529b5a7b22fa2fd8d85cf334fd197bf
c92549d7a6354233eae3bf4909d3480b
c367e99394c041220f4d24215ccc15d6
109eda6ed909793aabe225275db13554
57629af7af5c129e81eb53820308625b
01189a47521349fa130704df96ae93a8
09c070f2a7ae37ebbea47704c32aecb9
1ac1d6e87ab90bbc37a1a740985c5bef
de740b41c1a7f91c4a6c7186f997d46c
42060e4a7b0aca6bd8d200977b2f8bf9
bc2116dfe531c82d83b85e40ce195d4b
C&C
185.150.26.248
api.tcprestt.top
catddos.pirate@168.138.12.137
78.142.231.111:666
77.105.138.202:35342
79.110.62.138:655
转载来源:https://mp.weixin.qq.com/s/enH2iKZ6Ej02sijnRlBq9g
图片来源网络侵权可联系删除