本文轉(zhuǎn)載自：360 Netlab?https://blog.netlab.360.com/pinkbot/

本文完成于2020年春節(jié)前后，為維護(hù)廣大最終消費(fèi)者的利益，一直處于保密期無法發(fā)表。近日 CNCERT 公開披露了相關(guān)事件，令本文有了公開契機(jī)。在保密期的這段時(shí)間里，Pink 也出現(xiàn)一些新的小變動(dòng)，筆者篩選了其中一部分放到“新動(dòng)向”章節(jié)，供其他同仁共同追蹤研究。

概述

2019年11月21日，安全社區(qū)的信任伙伴給我們提供了一個(gè)全新的僵尸網(wǎng)絡(luò)樣本，相關(guān)樣本中包含大量以 pink 為首的函數(shù)名，所以我們稱之為 PinkBot。

Pinkbot 是我們六年以來觀測(cè)到最大的僵尸網(wǎng)絡(luò)，其攻擊目標(biāo)主要是 mips 光貓?jiān)O(shè)備，在360Netlab的獨(dú)立測(cè)量中，總感染量超過160萬，其中 96% 位于中國(guó)。

PinkBot 具有很強(qiáng)的技術(shù)能力：

1. PinkBot 架構(gòu)設(shè)計(jì)具備很好的健壯性，它能夠通過多種方式（通過第三方服務(wù)分發(fā)配置信息/通過 P2P 方式分發(fā)配置信息/通過 CNC 分發(fā)配置信息）自發(fā)尋址控制端，并對(duì)控制端通信有完備的校驗(yàn)，確保僵尸節(jié)點(diǎn)不會(huì)因某一個(gè)環(huán)節(jié)的阻殺而丟失或被接管；甚至對(duì)光貓固件做了多處改動(dòng)后，還能確保光貓能夠正常使用；

2. PinkBot對(duì)部分域名的解析查詢采取了 DNS-Over-HTTPS 的方式，這個(gè)也是在傳統(tǒng)BotNet中不太常見的一種手段；

3. 在與相關(guān)廠商的屢次攻防博弈中，PinkBot 的運(yùn)營(yíng)者都占據(jù)了明顯的對(duì)抗優(yōu)勢(shì)。

可以說，PinkBot 在整個(gè)過程中表現(xiàn)出了極強(qiáng)的針對(duì)性和專業(yè)性，各方面能力都很均衡，甚至有些可怕。

規(guī)模及影響范圍

我們通過對(duì)多個(gè)數(shù)據(jù)源的交叉對(duì)比，推測(cè) PinkBot 的感染量在百萬量級(jí)。三個(gè)評(píng)估的數(shù)據(jù)源如下：

1. 2019-11-30我們從可信任的安全伙伴手里拿到一個(gè)統(tǒng)計(jì)數(shù)字，日活去重 1,962,308 個(gè)IP;

2. 2020-01-02從CNCERT拿到的統(tǒng)計(jì)結(jié)果：
   “該僵尸網(wǎng)絡(luò)的規(guī)模目前無法準(zhǔn)確測(cè)算。根據(jù)NetFlow數(shù)據(jù)、主動(dòng)探測(cè)數(shù)據(jù)、實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)等多個(gè)維度的數(shù)據(jù)測(cè)算，該僵尸網(wǎng)絡(luò)關(guān)聯(lián)的Bot節(jié)點(diǎn)IP地址數(shù)量超過500萬。對(duì)這些IP地址的定位數(shù)據(jù)進(jìn)行統(tǒng)計(jì)發(fā)現(xiàn)，IP主要為聯(lián)通的家庭寬帶用戶地址。因家庭寬帶IP是動(dòng)態(tài)分配的，背后的真實(shí)感染設(shè)備規(guī)模無法精確估計(jì)，推測(cè)實(shí)際感染設(shè)備數(shù)量在百萬級(jí)，測(cè)算的一個(gè)主要依據(jù)為曾監(jiān)測(cè)到1分鐘內(nèi)連接C2的IP數(shù)量超過百萬。”

3. 根據(jù)我們 (360NetLab) 在全網(wǎng)范圍內(nèi)持續(xù)探測(cè)的數(shù)據(jù)評(píng)估，2020-01-08 當(dāng)天活躍的受感染 IP 數(shù)量為 165 萬。

在我們?nèi)W(wǎng)探測(cè)的測(cè)量數(shù)據(jù)中，受感染的 IP 主要集中在中國(guó) (96%)，遍及全國(guó) 33 個(gè)省。受影響的運(yùn)營(yíng)商主要涉及中國(guó)聯(lián)通（>80%）和中國(guó)電信（>15%）。

PinkBot 技術(shù)架構(gòu)

PinkBot是一個(gè)同時(shí)融合了“P2P”和“CNC”的混合結(jié)構(gòu)僵尸網(wǎng)絡(luò)。一般情況下，它將時(shí)效性要求不高的指令（如管理配置信息）通過P2P的方式傳遞，將時(shí)效性要求較高的指令通過CNC模式集中分發(fā)（例如：發(fā)起ddos攻擊，向用戶訪問的HTTP網(wǎng)站中插廣告）。

配置信息

對(duì)于每一個(gè)Bot來說，最重要的一步是找到自己的管理員。而管理員的信息就包含在“配置”之中，下面是最新截獲的配置信息：

{

? ? "verify": "1585065675",

? ? "cncip1": "144.202.109.110",

? ? "cncport1": "32876",

? ? "dlc": "5b62596bc1453d51cc7241086464f294",

? ? "dl": "http【:】//155.138.140.245/dlist.txt",

? ? "dlc1": "484417e6f65c8e18e684d60c03c4680a",

? ? "dl1": "https【:】//*****.com/johncase/zip/raw/master/dlist.txt",

? ? "sd0": "1.1.1.1",

? ? "sdp0": "443",

? ? "srvk": "FJAz37XiKgnTLtVpmhjxZcavTJUU5r4XN3Wl5nhTpg0=",

? ? "pxy": "1"

? }

1. 其中 verify 字段為指令發(fā)布的時(shí)間戳，Bot會(huì)根據(jù)這個(gè)時(shí)間戳篩選出最新的有效指令。

2. 隨后的 cncip 和 cncport 字段指明了僵尸網(wǎng)絡(luò)的最新CNC地址，攻擊者會(huì)根據(jù)自身需求隨時(shí)切換這個(gè)控制地址。

3. 再隨后的“dlc/dl”和 “dlc1/dl1” 字段組為最新的Bot更新地址，其中dlc和dlc1為對(duì)應(yīng)內(nèi)容的Hash校驗(yàn)字段，算法偽代碼為：MD5(MD5(dlist_content)+SHA256(dlist_content))。

4. “sd0/sdp0”字段為安全DNS地址，對(duì)于每一個(gè)Bot來說，當(dāng)需要查詢DNS解析記錄時(shí)，將通過這里指定的DNS服務(wù)來查詢。且方式為DNS-Over-HTTPS。

5. srvk字段為服務(wù)端的公鑰內(nèi)容（base64編碼）。對(duì)于每一個(gè)bot來說，它和CNC的通訊都是加密的。所以實(shí)際通訊前要先經(jīng)過ECDH的密鑰協(xié)商得到一個(gè)唯一的私鑰。在這里指定了CNC端的公鑰后，還可以順帶完成了Bot對(duì)CNC身份的驗(yàn)簽。這是對(duì)原有 ECDH 的擴(kuò)展使用。

6. pxy字段，推測(cè)是一個(gè)代理上線的選項(xiàng)。目前沒有看到使用跡象，不清楚具體的工作邏輯。

配置信息的保護(hù)

通過上一節(jié)的介紹，不難發(fā)現(xiàn)“配置信息”其實(shí)就是這個(gè)僵尸網(wǎng)絡(luò)的核心，它保證了攻擊者對(duì)僵尸網(wǎng)絡(luò)的絕對(duì)控制能力。
為了防止其他人發(fā)現(xiàn)配置信息，傳遞的配置信息都是異或加密過的密文。異或加解密算法是對(duì)稱的，其解密代碼邏輯如下：

def easydecrpyt(message):

? ? res = ""

? ? for cursor in range(0, len(message)):

? ? ? ? mbt = ord(message[cursor])

? ? ? ? res += (chr((mbt ^ (cursor%0xff) ^ 0xae ^ 0xac ^ 0xbe ^ 0xef) & 0xff))

? ? return res

信息加密后，為了防止他人偽造。攻擊者還使用了ecdsa對(duì)配置信息進(jìn)行了簽名，簽名細(xì)節(jié)如下：

1. 簽名校驗(yàn)使用的密碼庫(kù)為 mbedtls；

2. 簽名算法為 ECDSA；

3. 簽名時(shí)使用的曲線為：MBEDTLS_ECP_DP_SECP192R1；

4. 驗(yàn)簽所用公鑰為：?04 8D 54 71 71 44 A0 61 DA 5A B4 EA 40 55 2F 21 B1 9B 6C A5 17 92 0F 10 B5 11 56 ED 14 DB 54 47 1A 94 48 06 06 3C 7A B4 3B 25 D1 AC 9F 85 AF 33 9E

配置信息的分發(fā)

除了保證配置信息的機(jī)密性和完整性外，攻擊者還使用了多種手段來分發(fā)配置信息，以確保其可用性。

a) 通過第三方服務(wù)分發(fā)配置信息

1. 通過 BTC+GITHUB 分發(fā)配置信息

該分發(fā)渠道的核心是一個(gè)隱藏在GITHUB上的項(xiàng)目，比如最近一次看到的項(xiàng)目就是（mypolo111/vfg），可以看到這個(gè)項(xiàng)目的README中，有兩行內(nèi)容。

其中，模式為P!!<base64>I!!行是配置簽名，模式為N!!<base64>K!!行是配置信息的密文。

但對(duì)于每一個(gè)Bot來說，想要找到這個(gè)隱藏項(xiàng)目卻很復(fù)雜。最初，先從一個(gè)固定的BTC錢包[1GQNam6xhzYVLWWXvRfu3EjsFon6n6GxMF] 的轉(zhuǎn)賬記錄生成一個(gè) topic 標(biāo)簽，在逆向樣本相關(guān)代碼之后，我還原了這個(gè)過程，如下圖所示（BTC錢包的查詢用到了四個(gè)web服務(wù)，具體的地址也如圖中所示）：

對(duì)于每一個(gè)可能的topic標(biāo)簽，都有很多相關(guān)的github項(xiàng)目。遍歷這些項(xiàng)目的ISSUES，尋找一個(gè)格式為?...!<base64>...??的字串，比如我們最近找到的一個(gè)就是?...!L215cG9sbzExMS92Zmc=...??將這個(gè)base64 還原，就是隱藏項(xiàng)目的地址了?mypolo111/vfg

再通過搜索 GITHUB 的 Topics 和 ISSUES，找到那個(gè)隱藏的GIT項(xiàng)目。

另：mypolo111 這個(gè)賬號(hào)在多個(gè)項(xiàng)目中提交過ISSUES，相關(guān)截圖如下所示：

PS：在這一套尋址邏輯下，攻擊者可以通過為 “特定BTC錢包” 增加交易記錄的方式，來切換最終找到的 GITHUB 項(xiàng)目。在這樣的前提下須封掉指定BTC錢包才能破壞這個(gè)僵尸網(wǎng)絡(luò)以 GITHUB 為主的分發(fā)邏輯。

1. 通過 某中文社區(qū) 分發(fā)配置信息

攻擊者在少部分樣本中還嘗試?yán)谩澳持形纳鐓^(qū)”分發(fā)配置信息，這一部分的邏輯和利用GITHUB分發(fā)的邏輯相似。

b) 通過 P2P 方式分發(fā)配置信息

1. P2P-Over-UDP123 分發(fā)配置信息

Bot節(jié)點(diǎn)運(yùn)行后，會(huì)在本地監(jiān)聽 UDP-123 端口，該端口原本是NTP服務(wù)默認(rèn)端口，所用的協(xié)議也具有一定的迷惑性。一段時(shí)間后，會(huì)向公網(wǎng)的四個(gè)B段地址（"114.25.0.0/16"，"36.227.0.0/16"，"59.115.0.0/16"，"1.224.0.0/16"）發(fā)起 Peer 探測(cè)請(qǐng)求，內(nèi)容為?1C 00 00 00?當(dāng)目標(biāo)為正常的 NTP 服務(wù)器時(shí)會(huì)得到 NTP 時(shí)間，而如果目標(biāo)為一個(gè)Bot節(jié)點(diǎn)時(shí)，則有兩種回復(fù)：

• 當(dāng)目標(biāo)Bot未取得主控信息時(shí)回復(fù)?1D 00 00 00；

• 當(dāng)目標(biāo)Bot拿到主控信息時(shí)，會(huì)將主控信息的簽名和相應(yīng)密文回復(fù)，發(fā)送前，會(huì)在信息頭補(bǔ)充 0xE3 字節(jié)。

下圖是最近捕獲到的UDP-123 傳遞的配置信息。

1. 通過 P2P-Over-TCP 分發(fā)配置信息

Bot 節(jié)點(diǎn)運(yùn)行后，還會(huì)在本地監(jiān)聽一個(gè) TCP 端口，且端口號(hào)是通過其公網(wǎng) IP 計(jì)算后得到的，代碼如下圖所示：

交互協(xié)議的格式同UDP123上的相同。

c) 通過 CNC 分發(fā)配置信息

攻擊者在部分樣本中內(nèi)置了一個(gè)域名 cnc.pinklander.com ，當(dāng)該域名啟用后，會(huì)展示一個(gè)web頁(yè)面，頁(yè)面內(nèi)容和GITHUB項(xiàng)目的內(nèi)容相同。也是base64 編碼后的配置信息。

PinkBot 指令

指令格式

每條指令至少包含7字節(jié)，含義依此如下：

1. Token字段，長(zhǎng)度4字節(jié)，該字段值由服務(wù)器端指定，指定后將一直使用這個(gè)值。設(shè)置方式為：Bot啟動(dòng)后首先會(huì)向CC發(fā)送新生成的ECDH的公鑰，此刻Token為0，當(dāng)服務(wù)端接受后，會(huì)分配一個(gè)Token值給Bot，這就算指定成功了。

2. 指令字段，長(zhǎng)度1字節(jié)。CC發(fā)出指令后，Bot也要用相同的指令碼把執(zhí)行結(jié)果返回。

3. 內(nèi)容長(zhǎng)度字段，長(zhǎng)度2字節(jié)。當(dāng)指令不包含具體內(nèi)容時(shí)，設(shè)置為零，否則這里填充內(nèi)容的字節(jié)長(zhǎng)度數(shù)，并追加密文內(nèi)容。

4. 指令內(nèi)容。當(dāng)指令包含內(nèi)容時(shí)，此處填寫密文的指令內(nèi)容。解密方法請(qǐng)繼續(xù)向下閱讀。

這里附上一張截圖供參閱，其中紅框標(biāo)記的就是指令字段：

指令傳輸方式

a) 通訊加密

上述配置信息中的 cncip1 和 cncport1 便是攻擊者實(shí)際使用的主控節(jié)點(diǎn)。PinkBot 連接到 cnc 后將通過密鑰交換方式來做加密通信，細(xì)節(jié)如下：

1. 使用的密碼學(xué)庫(kù)為：mbedtls;

2. 密鑰交換階段使用的交換算法?ecdh，加載曲線為?MBEDTLS_ECP_DP_CURVE25519;

3. 服務(wù)端ECDH公鑰前期為硬編碼在樣本中，跟蹤后期，則改為在配置信息中指定。但內(nèi)容沒有變化過：14 90 33 DF B5 E2 2A 09 D3 2E D5 69 9A 18 F1 65 C6 AF 4C 95 14 E6 BE 17 37 75 A5 E6 78 53 A6 0D

4. 報(bào)文加密/解密階段使用的算法為?aes, key 為密鑰交換后的secret，加載參數(shù)為?MBEDTLS_AES_ENCRYPT?和MBEDTLS_AES_DECRYPT;

5. 在ECDH的標(biāo)準(zhǔn)中，一般雙方的公私鑰是每次都要重新生成。但在 PinkBot 中，卻只要求了 Bot 側(cè)每次不同，而服務(wù)端則指定一對(duì)固定的公私鑰。這種內(nèi)置服務(wù)端公鑰的方式，就等于讓 Bot 有能力對(duì) CNC 進(jìn)行身份驗(yàn)證，從而杜絕了通訊過程被中間人攻擊的可能性。

b) 指令內(nèi)容編碼

為了能夠同時(shí)適配 mipsb/mipsl 機(jī)型中字節(jié)序列的分布不同，傳輸?shù)膬?nèi)容其實(shí)是經(jīng)過開源庫(kù)nanopb（https://github.com/nanopb/nanopb）?轉(zhuǎn)化后的內(nèi)容，這個(gè)庫(kù)可以通過約定模版的方式來抽象序列化和反序列化的過程，從而忽略掉大/小端內(nèi)存的干擾。

指令功能

PinkBot 指令具有豐富的控制能力：

1. 文件下載

2. 系統(tǒng)命令執(zhí)行

3. DDoS攻擊（HTTP攻擊和 UDP 攻擊）

4. 掃描功能（掃描的具體內(nèi)容可以通過指令設(shè)置）

5. 匯報(bào)設(shè)備信息（CPU/系統(tǒng)類型/內(nèi)存信息/系統(tǒng)版本/硬件信息）

6. 自身更新（將新版本保存到 /tmp/client 后運(yùn)行）

7. P2P節(jié)點(diǎn)列表同步（直接推送一組P2P節(jié)點(diǎn)到Bot）

8. http報(bào)文注入廣告（在受害設(shè)備上，嗅探交互報(bào)文，遇到http網(wǎng)頁(yè)時(shí)，插入廣告js腳本）

9. 啟動(dòng)sock5代理服務(wù)（在Bot端架設(shè) Socks5 代理服務(wù)，賬號(hào)密碼通過指令設(shè)置）

10. 下載文件并執(zhí)行

11. 停止攻擊

12. 重置watchdog

PinkBot 持久化方式

與我們常見到的 botnet 不同，PinkBot 為了保持對(duì)感染設(shè)備的絕對(duì)控制權(quán)，會(huì)在感染光貓后，重新刷寫原有的光貓固件。在刷寫后的固件中，包含了 PinkBot 的下載器母體和配套的啟動(dòng)程序。

下圖是被感染后新增/修改的文件列表：

其中tmp目錄的內(nèi)容可以暫時(shí)忽略，這是樣本運(yùn)行中生成的臨時(shí)文件。

關(guān)鍵文件說明：

• /bin/protect：md5:9ec5bd857b998e60663e88a70480b828

protect 文件是被刷寫固件中的Bot母本。文件中未發(fā)現(xiàn)收益類功能，換句話說它更像是一個(gè)下載器，在這個(gè)樣本中可以看到以上5種獲取配置信息的代碼。它最主要的功能，就是啟動(dòng)后會(huì)從配置信息中拿到最新的樣本并把它們運(yùn)行起來。

• /bin/tr69c:?md5:451a3cf94191c64b5cd1be1a80be7799

tc69c 文件是光貓?jiān)脊碳?tr69c 的一個(gè)patch版本。通過對(duì)比分析，發(fā)現(xiàn)該patch主要移除了光貓的更新功能。也就是說，被刷寫的光貓，將無法通過 tr69c 進(jìn)行固件升級(jí)。這應(yīng)該是攻防對(duì)抗中引入的持久化操作。

跟蹤及處置

規(guī)模評(píng)估

前面提到，Pink 具有通過 p2p 方式來分發(fā)非實(shí)時(shí)性指令信息的特性。利用這個(gè)特性，我們得以在全網(wǎng)范圍內(nèi)對(duì) PinkBot 的感染量進(jìn)行評(píng)估，最終得出的全球受感染IP超過160w的 這個(gè)結(jié)論。

指令跟蹤

我們通過模擬 PinkBot 來實(shí)時(shí)接收CNC主控分發(fā)的指令。
除了日常的維護(hù)類指令（心跳指令/peerlist同步指令）外，我們還收到了多條向WEB網(wǎng)頁(yè)插入廣告的指令，例如：

匯報(bào)及處置

360公司為維護(hù)廣大最終消費(fèi)者的利益，做了以下處置工作：

1. 通報(bào)各級(jí)監(jiān)管機(jī)構(gòu)；

2. 依法配合執(zhí)法機(jī)構(gòu)行動(dòng)；

3. 聯(lián)合設(shè)備供應(yīng)商進(jìn)行安全防御；

4. 在360系列安全瀏覽器、安全DNS上阻斷PinkBot相關(guān)控制域名、插播廣告域名；

5. 聯(lián)合若干互聯(lián)網(wǎng)基礎(chǔ)設(shè)施供應(yīng)商共同監(jiān)控PinkBot行動(dòng)。

新動(dòng)向

本文其他部分，均完成于2020年春節(jié)前后，到現(xiàn)在已經(jīng)度過了一年半的時(shí)光。在這段時(shí)間中，我們沒有發(fā)現(xiàn) Pink 出現(xiàn)太大的變動(dòng)，本節(jié)附上了一些最新的線索，供同仁們共同研究和追蹤。

最新傳播的配置信息

隨著對(duì) pink 的持續(xù)追蹤，我們發(fā)現(xiàn)，pink 的配置信息會(huì)間歇性發(fā)生變化，變動(dòng)內(nèi)容主要體現(xiàn)在 CNC 字段和 DL* 字段，并于最近幾個(gè)月趨于穩(wěn)定。下面是我們?cè)?2021/10/5(北京時(shí)間) 捕獲的最新配置信息。

當(dāng)前規(guī)模

我們一直階段性的對(duì)公網(wǎng)上的 Pink 節(jié)點(diǎn)進(jìn)行持續(xù)監(jiān)測(cè)，通過對(duì) 2021/10/20日的日志分析，我們?nèi)匀豢梢钥吹?103024 個(gè) IP 處于日活狀態(tài)。這表明，當(dāng)前的 pink 的感染規(guī)模仍然在 10w 量級(jí)左右，涉及多家設(shè)備廠商，按照每個(gè)IP對(duì)應(yīng)一個(gè)三口之家來計(jì)算，受影響人群大概 30w 人左右。按照每個(gè)光貓 100 元的更換成本計(jì)算，當(dāng)前仍有上千萬損失等待彌補(bǔ)。

曾發(fā)起 DDoS 攻擊

文章編寫完成時(shí)，我們并沒有抓到 Pink 發(fā)起 ddos 攻擊的指令，但在隨后的一段時(shí)間中，我們監(jiān)測(cè)到了大概100多條試圖發(fā)起 DDos 攻擊的指令，下面篩選其中的兩條，供參考：

番外：Pink 對(duì)抗的能力

在對(duì) Pink 僵尸網(wǎng)絡(luò)分析跟蹤的過程中。我們注意到，攻擊者和不同廠商進(jìn)行過多次的攻防對(duì)抗。
這一章節(jié)將簡(jiǎn)單介紹下在對(duì)抗中， Pink 展現(xiàn)出來的一些能力。

設(shè)備廠商的博弈

根據(jù)相關(guān)廠商之一提供的信息，對(duì)抗最早發(fā)生在 2019 年 11 月中旬。受攻擊的漏洞源于一個(gè) TCP-17998 的管控服務(wù)，該服務(wù)是對(duì)運(yùn)營(yíng)商提供的一個(gè)管理家用光貓的接口。由于服務(wù)配置和實(shí)現(xiàn)的失誤，向公網(wǎng)開放了訪問權(quán)限，攻擊者通過它獲取了相關(guān)光貓的控制權(quán)。

第一次對(duì)抗: 廠商在發(fā)現(xiàn)這個(gè)問題后，開始試圖在公網(wǎng)上通過相同的漏洞，修復(fù)自家設(shè)備。但很快就被攻擊者發(fā)現(xiàn)并馬上采取行動(dòng)，通過 iptables 關(guān)閉了 TCP-17998 的外網(wǎng)訪問能力，從設(shè)備內(nèi)部阻止了廠商的進(jìn)一步修復(fù)。

第二次對(duì)抗：此次攻防的焦點(diǎn)在 tr069 升級(jí)通道。廠商從運(yùn)營(yíng)商側(cè)可以在設(shè)備啟動(dòng)瞬間利用 tr096 進(jìn)去修復(fù)設(shè)備。然而此次攻擊者仍然在第一時(shí)間察覺到問題，并迅速更新固件關(guān)掉了tr096 的更新通道。

第三次對(duì)抗：廠商又嘗試?yán)迷O(shè)備上 LAN 側(cè)的 TCP-80 HTTP 服務(wù)來進(jìn)行設(shè)備修復(fù)，然而，同樣的結(jié)局，攻擊者很快又更新固件把設(shè)備上的 HTTP 服務(wù)文件干掉了。至此，所有的光貓都成了網(wǎng)絡(luò)孤島，它們只能提供終端用戶的正常網(wǎng)上沖浪的能力，卻再?zèng)]有網(wǎng)絡(luò)端口可以供外側(cè)管理訪問。

最后的方案：廠商已經(jīng)完全沒有還擊的籌碼了。如果要修復(fù)這些孤島，只能派人入戶接觸光貓，拆解出調(diào)試接口或者干脆為用戶更換光貓。

復(fù)盤總結(jié)：設(shè)備廠商與攻擊者多輪的攻防對(duì)抗中，雙方的信息和能力是不對(duì)等的。廠商在無法獲知全網(wǎng)受害情況的前提下，從互聯(lián)網(wǎng)上一個(gè)IP一個(gè)IP的發(fā)現(xiàn)設(shè)備/修復(fù)設(shè)備。而攻擊者通過集中C&C的機(jī)制，統(tǒng)一下發(fā)關(guān)服務(wù)指令。雖然，廠商修復(fù)了一部分設(shè)備得到了局部勝利，但攻擊者仍然保住了大部分勝利果實(shí)獲取了全局勝利。
另一方面，將物聯(lián)網(wǎng)設(shè)備供應(yīng)商與成熟的系統(tǒng)供應(yīng)商在安全能力方面對(duì)比（例如Windows、安卓或者M(jìn)acOS），后者擁有成熟的多的安全人員建制和豐富的多的安全對(duì)抗經(jīng)驗(yàn)。再考慮到物聯(lián)網(wǎng)設(shè)備數(shù)量眾多，多得多的數(shù)量加上少的多的防御，更多的攻擊轉(zhuǎn)向物聯(lián)網(wǎng)設(shè)備是老道攻擊者的自然選擇。

GITHUB 封相關(guān)賬號(hào)

我們?cè)趯?shí)際跟蹤中通過殘留的早期指令發(fā)現(xiàn)，PinkBot 至少已經(jīng)存在一年以上了，最早可以追溯到 2018年10月16日，當(dāng)時(shí)使用的 github 帳號(hào)為 pink78day（這個(gè)賬號(hào)早就已經(jīng)看不到了，我們通過搜索Google的網(wǎng)頁(yè)快照服務(wù)追溯）。

目前 PinkBot 使用的帳號(hào)是 2019年11月下旬注冊(cè)的 mypolo111，而 pink78day 這個(gè)賬號(hào)已經(jīng)無法在 Github 上搜索到，所以我們推測(cè)，Github 在發(fā)現(xiàn)這個(gè)項(xiàng)目后對(duì)帳號(hào)采取了屏蔽措施，而最近一次攻防也就發(fā)生在 2019年11下旬 PinkBot 換帳號(hào)這個(gè)時(shí)間點(diǎn)。

復(fù)盤總結(jié)：對(duì)于GITHUB來說，PinkBot 數(shù)量巨大，且訪問的項(xiàng)目是一個(gè)明顯惡意的項(xiàng)目，會(huì)消耗較多的服務(wù)資源，于情于理，GITHUB 都要封殺這個(gè)僵尸網(wǎng)絡(luò)。問題在于，他們誤認(rèn)為 pink78day 是一個(gè)集中分發(fā)指令的渠道，以為單純封殺這個(gè)賬號(hào)就沒事了。但事實(shí)上，這個(gè)賬號(hào)只是一個(gè)相對(duì)下游的控制手段。攻擊者通過增加BTC錢包的交易記錄就可以瞬間將Bot重定向到一個(gè)新的賬號(hào)上。消耗資源的問題依然存在，此次攻防無所謂成功失敗。

IOC

C&C地址

通過長(zhǎng)期跟蹤，攻擊者使用過的CNC地址有：

cnc.pinklander[.]com?

144.202.109.110:40080?

144.202.109.110:32876?

207.148.70.25:12368?

45.32.125.150:12368?

45.32.125.188:12368?

45.32.174.105:12368?

5.45.79.32:12368

PS: 我們的DNSMon系統(tǒng)，早在2019年12月28日，在我們的人工分析介入之前，就自動(dòng)已經(jīng)標(biāo)示控制域名 cnc.pinklander.com 有重大嫌疑并在360的安全DNS服務(wù)中（https://dns.#/）攔截了。

PPS: 順道說一句，我們的 DNSMon 系統(tǒng)，已于近日改名 DTA ，并開啟商業(yè)化之路(https://blog.netlab.360.com/360dta-announced/)，感興趣的伙伴們可以自行移步了解相關(guān)事宜。

同步服務(wù)

PinkBot 會(huì)通過HTTP服務(wù)同步樣本，用于更新或擴(kuò)大感染。所用的HTTP服務(wù)有一些是公有服務(wù)，有一些是臨時(shí)建立的HTTP服務(wù)。
在長(zhǎng)期的跟蹤中，我們確定至少存在以下URL被用于樣本同步。這些URL均提取自 PinkBot 的配置信息中。

http[:]//1.198.50.63:1088/dlist.txt

http[:]//1.63.19.10:19010/var/sss/dlist.txt

http[:]//104.207.142.132/dlist.txt

http[:]//108.61.158.59/dlist.txt

http[:]//111.61.248.32:1088/dlist.txt

http[:]//112.26.43.199:81/dlist.txt

http[:]//113.106.175.43:19010/tmp/pinkdown/dlist.txt

http[:]//117.131.10.102:1088/d/dlist.txt

http[:]//123.13.215.89:8005/d/dlist.txt

http[:]//125.74.208.220:81/dlist.txt

http[:]//140.82.24.94/dlist.txt

http[:]//140.82.30.245/d/dlist.txt

http[:]//140.82.53.129/dlist.txt

http[:]//144.202.38.129/dlist.txt

http[:]//149.28.142.167/p/dlist.txt

http[:]//149.28.142.167/p1/dlist.txt

http[:]//155.138.140.245/dlist.txt

http[:]//167.179.110.44/dlist.txt

http[:]//173.254.204.124:81/dlist.txt

http[:]//182.139.215.4:82/dlist.txt

http[:]//207.148.4.202/dlist.txt

http[:]//218.25.236.62:1987/d/dlist.txt

http[:]//218.25.236.62:1988/d/dlist.txt

http[:]//222.216.226.29:81/dlist.txt

http[:]//45.32.26.220/dlist.txt

http[:]//45.76.104.146/dlist.txt

http[:]//45.77.165.83/p1/dlist.txt

http[:]//45.77.198.232/p1/dlist.txt

http[:]//45.88.42.38/p1/dlist.txt

http[:]//61.149.204.230:81/dlist.txt

http[:]//66.42.114.73/dlist.txt

http[:]//66.42.67.148/dlist.txt

http[:]//8.6.193.191/dlist.txt

http[:]//95.179.238.22/dlist.txt

https[:]//***.com/**/dlist.txt

https[:]//raw.githubusercontent.com/pink78day/helloworld/master/dlist.txt

MD5

通過跟蹤獲取到的相關(guān)樣本（ELF）匯總?cè)缦拢?/p>

9ec5bd857b998e60663e88a70480b828 /bin/protect

451a3cf94191c64b5cd1be1a80be7799 /bin/tr69c

06d6ad872e97e47e55f5b2777f78c1ba slient_l

07cd100c7187e9f4c94b54ebc60c0965 slient_b

0f25b0d54d05e58f5900c61f219341d3 client_b

0f89e43ea433fdfd18a551f755473388 slient_l

1197994610b2ffb60edbb5ab0c125bc0 client_b

167364ad0d623d17332f09dbb23a980e client_b

175b603082599838d9760b2ab264da6f slient_l

1a6dce9916b9b6ae50c1457f5f1dfbbd slient_l

229503686c854bb39efdc84f05b071b9 slient_b

25a07e3ef483672b4160aa12d67f5201 client_l

262a4e242c9ebeba79aa018d8b38d229 client_l

29d0afd2a244c9941976ebf2f0f6597f client_l

2befedd020748ff6d9470afad41bd28c slient_b

2ca5810744173889b2440e4f25b39bd4 client_l

36e48e141943a67c6fdeaa84d7af21cc client_b

3a620ff356686b461e0e1a12535bea24 slient_l

41bbe8421c0a78067bae74832c375fe8 slient_l

45ee78d11db54acfdda27c19e44c3126 client_l

4830c3950957093dac27d4e87556721e slient_l

484761f281cb2e64d9db963a463efca5 client_l

48a7f2799bf452f10f960159f6a405d3 client_l

494412638dc8d573172c1991200e1399 client_l

4c83ad66189a7c4d2f2afdbfb94d0e65 slient_b

50270de8d5783bb0092bf1677b93c97b slient_l

54aa9e716567bd0159f4751916f7f0d1 client_l

5ae1fec20c2f720269c2dc94732187e8 slient_b

5b62a9bd3431c2fd55283380d81c00fa client_b

5c322610e1845d0be9ccfc8a8b6a4c4f client_l

5c4f8dae67dad8cac141afa00847b418 slient_b

5d0d034845bd69179bf678104c046dc1 client_b

60658ef214c960147200d432eece3e13 slient_l

60a2b1bb02a60ac49f7cc1b47abdf60c client_l

610f0aadba3be1467125607bf2ba2aaf slient_l

66a068fd860bda7950fde8673d1b5511 client_b

6c4de9bd490841f0a6c68638f7253c65 client_b

72c531a813b637af3ea56f288d65cdb7 slient_b

7608b24c8dcf3cd7253dbd5390df8b1f client_b

7645a30a92863041cf93a7d8a9bfba1a client_b

857fc3c7630859c20d35d47899b75699 slient_b

861af6b5a3fea01f2e95c90594c62e9d client_l

8e86be3be36094e0f5b1a6e954dbe7c2 client_l

8fbcd7397d451e87c60a0328efe8cd5d client_b

987a9befb715b6346e7ad0f6ac87201f slient_b

9eb147e3636a4bb35f0ee1540d639a1b slient_b

aa2fc46dd94cbf52aef5e66cdd066a40 client_l

ae8b519504afc52ee3aceef087647d36 slient_b

b0202f1e8bded9c451c734e3e7f4e5d8 slient_b

b6f91ad027ded41e2b1f5bea375c4a42 slient_b

b9935859b3682c5023d9bcb71ee2fece slient_b

b9d1c31f59c67289928e1bb7710ec0ba client_l

bec2f560b7c771d7066da0bee5f2e001 client_b

c2efa35b34f67a932a814fd4636dd7cb slient_l

c839aff2a2680fb5676f12531fecba3b slient_b

c94504531159b8614b95c62cca6c50c9 slient_l

dfe0c9d36062dd3797de403a777577a6 client_b

e19a1106030e306cc027d56f0827f5ce slient_l

f09b45daadc872f2ac3cc6c4fe9cff90 client_b

f5381892ea8bd7f5c5b4556b31fd4b26 client_b

f55ad7afbe637efdaf03d4f96e432d10 slient_b

f62d4921e3cb32e229258b4e4790b63a client_b

f81c8227b964ddc92910890effff179b slient_b

fc5b55e9c6a9ddef54a256cc6bda3804 client_b

fe8e830229bda85921877f606d75e96d slient_l

fee6f8d44275dcd2e4d7c28189c5f5be client_l

說明

本文轉(zhuǎn)載自：360 Netlab?https://blog.netlab.360.com/pinkbot/ ，如侵權(quán)，請(qǐng)聯(lián)系刪除。