僵尸网络Gafgyt家族分析

安天追影小组通过对Gafgyt 家族涉及IoT领域进行深入分析及自动化监控发现该家族与Mirai家族一样在IoT领域属于相对活跃的僵尸网络恶意程序，他们的特性也存在很多相似之处，不排除Mirai家族是在Gafgyt家族的基础上建立的可能性，因为Gafgyt家族出现时间相比Mirai家族要早很多。Gafgyt家族是在2014年10月开始被发现，一直以来，Gafgyt家族在国外都保持着相对活跃的状态，从目前监控到的数据来看，其DDoS攻击目标基本致力于欧美国家。

分析介绍：

Gafgyt家族bot程序主要功能分为3个模块：
1、Downloader模块。通过样本硬编码的url下载shell脚本和其他附属样本，随后执行下载的脚本及样本，实现bot程序传播；
2、Scanner 模块。bot 程序在运行后，首先会向控制端发送首包，而这个首包和通常的botnet 病毒家族的首包存在比较大的区别，常见的botnet病毒家族首包是包含系统配置等信息，而Gafgyt首包数据是“BUILD RAZER.”，控制端则通常回复“!* SCANNER ON”，命令被控端对随机网段进行telnet弱口令扫描爆破，如果被控端发现有爆破成功，就会把IP及telnet用户、密码数据向控制端发送，这也预示着增加一个潜在的僵尸网络被控端；
3、DDoS攻击模块。Bot程序在执行telnet 扫描爆破的同时，也在和控制端保持正常通讯，等待控制端的相关指令，例如DDoS攻击指令，Gafgyt主要实现包括：'syn flood'，'udp flood'，'udp amplification'，'tcp flood'，'rst flood'，'http flood'这几种方式的DDOS攻击。

Gafgyt 家族的样本没有实现备份自身及自启动功能，通过Scanner模块与Downloader模块，即使bot程序受害者系统重启系统清除bot程序，其它的僵尸网路节点同样可以通过telnet重新登陆进而传播感染，使botnet迅速拓展势力范围进而增加DDOS攻击威力，这一点Mirai家族与之非常相似。

总结：

追影小组对Gafgyt家族的监控还在持续进行，每天都会发现新增的C&C且其大部分对欧美多个国家不同IP进行DDoS攻击，严重威胁互联网安全。若发现物联网设备被植入Gafgyt家族的恶意程序，只需要将设备重启，并将telnet的用户密码更换即可，由此也提醒物联网设备管理者不要使用弱密码，以免被黑客攻击利用。

MD5:

60b193ac62f64c78c517ef4228fd0038

参考链接:

http://www.welivesecurity.com/2016/03/30/meet-remaiten-a-linux-bot-on-steroids-targeting-routers-and-potentially-other-iot-devices/
https://www.symantec.com/security_response/writeup.jsp?docid=2014-100222-5658-99