dos攻击工具_Momentum僵尸网络：DDOS攻击和IoT漏洞利用

研究人员近期发现一个影响Linux设备的恶意软件活动，进一步分析提取的样本发现这些活动都与一个僵尸网络有关——Momentum。研究人员发现该僵尸网络正在利用被黑的设备执行DDOS攻击。

Momentum僵尸网络主要攻击目标是不同CPU架构的Linux设备，包括 ARM, MIPS, Intel, Motorola 68020等CPU架构。恶意软件的是主要目的是打开后门，并接收命令来针对给定目标发起DOS攻击。Momentum僵尸网络传播的后门是Mirai, Kaiten, Bashlite变种，研究人员分析的样本中推送的是Mirai后门。此外，Momentum还利用不同路由器和web服务的漏洞来在不同目标设备上下载和执行shell脚本。

Momentum工作原理

感染设备后，Momentum会尝试修改rc文件来实现驻留，然后加入C2服务器，连接到名为#HellRoom的IRC信道来注册自己和接收命令。IRC协议是与C2服务器进行通信的主要方法。僵尸网络运营者会通过发送消息到IRC信道来控制受感染的系统。

图 1. 受感染的设备加入攻击者IRC命令和控制信道

图 2. 命令和控制信息路径(下载/传播服务器，IRC服务器)

如图2所示，传播服务器上有许多恶意软件可执行文件。其他的服务器是僵尸网络的C2服务器。C2服务器的最后活动日期是2019年11月18日。

通信链路建立后， Momentum可以利用被黑的设备使用不同的命令来发起攻击。比如，Momentum可以应用36种不同的方法来发起DoS攻击。

表 1. Momentum使用的不同的DOS攻击方法

恶意软件使用已知的反射和放大方法来发起工具，比如MEMCACHE, LDAP, DNS，Valve Source Engine。在这些类型的攻击中，恶意软件可以伪造源IP地址发起针对受害者IP地址的洪泛攻击。

除了DOS攻击外，研究人员还发现Momentum可以执行其他动作，比如在给定IP上的端口上打开代理，修改客户端昵称，禁用或启用来自客户端的包等等。

Momentum DOS攻击

LDAP DDoS反射

在LDAP DDoS反射中，恶意软件可以用伪造的源IP地址来欺骗目标系统的LDAP服务器，引发到目标的大量响应消息。

Memcache攻击

在Memcache攻击中，远程攻击者可以使用伪造源IP的方式构造和发送恶意UDP请求。Memcached服务器会发送一个很大的响应到目标。Momentum使用HTTP GET请求来下载反射文件——恶意软件在其他放大DOS攻击中也使用相同的请求。

根据Shodan的数据，有超过42000有漏洞的memcached服务器受到此类攻击的影响。

Momentum僵尸网络使用下面的HTTP GET请求来下载反射文件：

GET / HTTP/1.1

 User-Agent: Mozilla/4.75 [en] (X11; U; Linux 2.2.16-3 i686) 

Host: :80 

Accept: */* 

Connection: Keep-Alive

UDP-BYPASS攻击

在UDP-BYPASS攻击中，Momentum会通过在特定端口构造和上传合法的UDP payload来对目标主机发起洪泛攻击。在攻击中，恶意软件会选择随机的端口和对应的payload，然后发送来发起攻击。恶意软件在该攻击中会使用多线程技术，每个线程对应一个端口和payload。

下表是一些端口和对应的payload：

表 2. 端口和对应的payload

上面提到的大多数脚本用于服务发现。如果这些脚本在一段时间内发送给目标设备，就会引发dos攻击。

Phatwonk攻击

Phatwonk攻击可以一次执行多种DoS方法，包括 XMAS, all flags at once, usyn (urg syn),任意TCP flag融合。

   Momentum的其他能力

除了DOS攻击外，恶意软件一般还会尝试绕过检测、维护开放通信等。Momentum也有许多启动的能力来帮助传播和入侵设备：

Fast flux。Momentum僵尸网络使用fast flux技术来使C2网络更加可靠。Fast flux网络意味着一个域名有多个相关IP地址，可以快速修改IP，攻击者可以使用它来误导或绕过安全调查人员。

后门。攻击者可以发送命令到IRC信道，恶意软件客户端在受感染的系统上接收和执行。攻击者执行后会将结果发送回相同的IRC信道。

复制和传播。Momentum会尝试利用表中列出的漏洞来进行复制和传播。研究人员分析发现某个C2服务器上有超过1200个受害者。

CCTV-DVR RCE漏洞利用形式：

ZyXEL路由器漏洞利用格式

Huawei路由器漏洞利用格式

D-Link HNAP1

相关SDK UPnP SOAP 命令执行

GPON80

GPON8080

GPON443

JAWS Webserver非认证的shell命令执行

Vacron NVR RCE

UPnP SOAP命令执行

THINK-PHP

HooTooTripMate RCE

表 3. 复制和传播过程中利用的漏洞和漏洞利用

本文翻译自：https://blog.trendmicro.com/trendlabs-security-intelligence/ddos-attacks-and-iot-exploits-new-activity-from-momentum-botnet/