最近，網絡安全公司趨勢科技（Trend Micro）發現了一系列針對linux設備的惡意軟件活動，而這些活動最終都被證實與一個名為“Momentum”僵尸網絡存在關聯。

進一步的分析表明，Momentum的感染目標是各種CPU架構（如ARM、MIPS、Intel、Motorola 68020等）的Linux設備，主要目的是在受感染設備上打開后門，進而接受命令以發起DoS攻擊。

據不完全統計，經Momentum傳播的后門木馬至少包括Mirai、Kaiten和 Bashlite的變種，而傳播過程則涉及到利用各種路由器和Web服務的漏洞來下載和執行shell腳本。

Momentum的工作原理

在成功感染設備后，Momentum首先會嘗試通過修改“rc”文件來實現長久駐留，然后建立受感染設備與命令和控制（C2）服務器的聯系——連接到名為“#HellRoom”的IRC信道來注冊自身并接受命令。

IRC協議是受感染設備與C2服務器通信的主要方法，它使得攻擊者能夠通過將消息發送到IRC信道來控制受感染的設備。

圖1.建立受感染設備與C2服務器的聯系

圖2.命令和控制通信路徑

根據趨勢科技研究人員的說法，Momentum允許攻擊者使用36種不同的方法來發起DoS攻擊：

圖3.Momentum所能使用的各種DOS攻擊方法

從上圖可以看出，Momentum使用了大量已知的反射和放大方法來發起DOS攻擊，這些方法所針對的目標包括MEMCACHE、LDAP、DNS和Valve Source Engine等。

除DoS攻擊外，趨勢科技的研究人員發現Momentum還能夠執行其他操作：在指定IP的端口上打開代理、更改客戶端的名稱，以及禁用或啟用來自客戶端的數據包等。

Momentum DoS攻擊

LDAP DDoS反射

在LDAP DDoS反射中，Momentum會用偽造的源IP地址來欺騙目標系統的LDAP服務器，從而引發到目標的大量響應消息。

MEMCACHE攻擊

在MEMCACHE攻擊中，遠程攻擊者可以使用偽造源IP的方式構造和發送惡意UDP請求，這會導致MEMCACHE服務器向目標發送大量響應。

來自Shodan的數據現實，有超過42000臺存在漏洞的MEMCACHE服務器可能會受到此類攻擊的影響。

UDP-BYPASS攻擊

在UDP-BYPASS攻擊中，Momentum會通過在特定端口構造和上傳合法的UDP有效載荷來對目標主機發起洪泛攻擊，部分端口及有效載荷如下：

圖4.端口及有效載荷

Phatwonk攻擊

Phatwonk攻擊可以一次性執行多種DoS方法，包括常見的丟棄異常的XMAS數據。

Momentum的其他功能

Fast flux

Momentum僵尸網絡能夠使用fast flux技術，以使其C2網絡更具彈性。Fast flux網絡意味著一個域名擁有多個相關IP地址，攻擊者可以通過快速更改IP地址來繞過安全人員的追蹤。

后門

攻擊者可以發送命令（BASH、SHD或SH命令）到IRC信道，以供在受感染設備上的Momentum客戶端接收和執行。

自我復制和傳播

Momentum會嘗試利用多種設備的漏洞來進行自我復制和傳播，這其中包括來自多家廠商的CCTV-DVR、ZyXEL路由器、華為路由器和D-Link路由器等。

結論

由于有限的安全設置和保護選項，一些智能設備或聯網設備（特別是路由器）在網絡攻擊面前顯得不堪一擊。因此，我們有必要采取一些主動措施來保護我們的設備，尤其是我們的企業。