2020 年 6 月,绿盟科技伏影实验室威胁捕获团队,根据 CNCERT物联网威胁情报平台及绿盟威胁 识别系统监测数据,检测到数例针对 DrayTek Vigor 路由器 的漏洞利用入侵事件,并确定此传播利用了 CVE-2020-8515 漏洞。根据捕获的流量,在攻击 payload 在执行过程中,还触发了大量疑似 DGA的流量。 经深入分析,我们发现这是一款全新的僵尸网络木马,可进行 DDoS 攻击及自更新。功能方面,该木马仍采用了传统的 DDoS 攻击模式,但作者未完成所有的功能设计 ,部分攻击指令 对应模块为空,为未来扩展做下铺垫。图 12 BigViktor 主要 C&C通信流程 Bigviktor 通过 RC4 解密内置的 DGA词组字典,实现与 C&C的通信。经解密,我们发现其词组包含 了 100 个动词 (Verb)、1522 个名词 (Noun)、525 个形容词 (Adj)、40 个前缀 (Prefix) 和 20 个后缀 (Suffix), 最终形成的域名格式为 Prefix.Verb-Adj-Noun.Suffix。
表 4 Bigviktor DGA 算法关键词一览
VerbNounAdjPrefix Suffixbeaablecamarthaveabilityacceptablevideoclickdoabroadaccordingxclubsayabuseaccurateacomgoaccessactionwwwfansgetaccidentactiveftpfutbolmakeaccountactualsslinknowactadditionalthinkactionadministrativewww1linktakeseeactivityafraidnocnlcomeactoraftersmtpobserverwantadafternoonpoponelookadditionagentssluseaddressaggressivesecurepicturesfindadministrationagoimagesrealtygiveadultairlinethrockstelladvancealiveimgtelworkadvantagealldownloadtopcalladvertisingalonemailxyztryadvicealternativeremoteDGA域名需要 key 经过简单运算并拼接来组成,key 来自于访问 RC4 解密后的特定网址所获得的日 期(格式为 %b %Y 00:00)经 SHA256 运算后的前 4 字节。表 5 用于获得时间 KEY的特定网站一览
jd.comweibo.comvk.comcsdn.netokezone.comoffice.comxinhuanet.combabytree.comlivejasmin.comtwitch.tvnaver.comaliexpress.comstackoverflow.comtribunnews.comyandex.rusoso.commsn.comfacebook.comyoutube.combaidu.comen.wikipedia.orgtwitter.comamazon.comimdb.comreddit.compinterest.comebay.comtripadvisor.comcraigslist.orgwalmart.cominstagram.comgoogle.comnytimes.comapple.comlinkedin.comindeed.complay.google.comespn.comwebmd.comcnn.comhomedepot.cometsy.comnetflix.comquora.commicrosoft.comtarget.commerriam-webster.comforbes.comtmall.combaidu.comqq.comsohu.comtaobao.com360.cntianya.cn因此可知,每个月产生的 DGA域名都是不同的,且数量达到千余条。图 15 Gobrut 针对 WordPress 网站的暴破 / 扫描指令占比 在受到暴破尝试攻击的网站顶级域名分布中,com 占据近一半数量,剩下的部分大多是各个国家的 顶级域名,这从某种程度上反映了当今 WordPress 网站的分布。 
图 16 受 Gobrut 攻击的 WordPress 网站顶级域名分布
此外,该家族还有着一定的子域名搜集能力。伏影实验室发现,在扫描指令给定的目标中,不乏一 些超长的多级子域名,最多甚至高达 19 级,如下图所示: 
图 17 受到扫描的超长多级子域名 这表明攻击者很可能使用了子域名暴破手段来进行子域名挖掘。子域名暴力破解指的是通过自动化 枚举的方式来探测某域名拥有的次级域名。由于子域名在渗透中可能成为突破口,所以受到攻击者的青 睐。 由此可见,Gobrut 的控制者在后台拥有较为完善和健全的域名采集和挖掘机制,并利用分布式僵尸 网络在海量基数的域名条目中发现脆弱网站,进行非定向的无差别攻击。
绿盟 2020 DDoS攻击态势报告
友情链接绿盟 2020 Botnet趋势报告
