概述

當地時間 10 月 7 日清晨，加沙地帶的巴勒斯坦武裝組織哈馬斯向以色列境內發動大規模火箭彈襲擊，以色列包括特拉維夫在內的多個地區都拉響防空警報。隨之拉開了新一輪激烈的巴以武裝衝突的序幕。幾天之內，雙方死傷人數已達數千人。

隨著現實戰場的開啟，網路世界的活動也隨之增加。

在俄烏衝突中聲名赫赫的網路攻擊組織 Killnet 官宣加入戰局，還有疑似 Anonymous 組織發起了代號為 「Anonymous Sudan」 的攻擊行動。除此之外，很多此前不太知名的攻擊組織也都加入戰局並站隊，甚至印度的駭客組織 India Cyber Force 也宣稱打癱了哈馬斯的官方網站。

奇安信威脅情報中心一直在對網路上熱點的攻擊活動做監測與分析，在我們視野內，近幾天針對以色列目標的 DDoS 攻擊比針對巴勒斯坦目標的攻擊更為猛烈，而且攻擊者疑似早有準備，在現實衝突開始前就準備好了 C&C 基礎設施，並開啟了一輪殭屍網路傳播、構建的活動。

針對以方的 DDoS 攻擊

以色列受 DDoS 攻擊的目標主要有大型 ISP、政府部門官網、銀行、能源公司、媒體和軍事防務相關的公司，我們整理了一份詳細列表：

可以看到這些攻擊集中在 10.08-10.10 三天，正好是緊跟在現實武力衝突發生之後，其中以色列政府官網在 10.08 和 10.10 分別被兩個殭屍網路(Mirai 和 bld)攻擊。針對以色列重要目標，Mirai 殭屍網路 C&C api.tcprestt.top:60195 發起了最多的攻擊。

針對巴方的 DDoS 攻擊

針對巴方的 DDoS 攻擊我們看到的較少，只在 8 月底檢測到加沙地帶電力公司官網被一個內部命名為 mirai_cha 的 Mirai 變種殭屍網路攻擊。其次就是在 10.08 日，巴勒斯坦第一家 ISP 服務商 Jawwal 被一個 Mirai 殭屍網路攻擊。

湊巧的是，同一個 Mirai 殭屍網路 C&C 78.142.231.111:666 在當天還攻擊了以色列的兩個目標，可以猜測這只是個 DDoS 攻擊租賃平臺，沒有站隊，為了利益可以兩頭通吃。

殭屍網路案例分析

上文可以看到Mirai 殭屍網路 C&C api.tcprestt.top:60195 發起了針對以色列目標最多的攻擊，這引起了我們的注意。

網路資產分析

在我們的 TI 系統可以看到，其 C&C 域名 api.tcprestt.top 註冊於 2023.08.21，

並且最早於 10.1 日配置 A 記錄解析到 IP 185.150.26.248

另外，該 C&C 域名目前還有 3 個兄弟域名，但這三個兄弟域名目前都啟用了 CloudFlare 提供的 Anycast 服務：

根據我們的 PDNS 資料，該 IP 今年以來都沒有綁定到明顯惡意的域名，由此可以猜測該 C&C 域名和 IP很可能是攻擊組織新註冊到手的資產，難以據此關聯攻擊組織以前的網路資產：

樣本與傳播分析

經過我們的回溯分析，發現與此 C&C 關聯的 Mirai 樣本在 9.29 深夜開始通過 Telnet 服務暴破來傳播，以下是我們的威脅監控系統監測到的該殭屍網路近期傳播趨勢：

該家族本次傳播的樣本通過惡意腳本 hxxp://185.150.26.248/web-api.sh 下發，服務端檔案名為 Mddos，落盤檔案名為 loudscream（中文：「尖叫」）：

經過對樣本的進一步分析，我們確認該家族為 Unit42 今年早些時候曝光過的 Mirai V3G4 變種。首先，木馬樣本運行之初，會在控制檯列印字串 「xXxSlicexXxxVEGA」，在木馬確認了單例執行之後，還會繼續在控制檯列印字串」We got this shit already」，同時，這兩個字串都是存放在內部加密資料表中，分別為第 1 項和第 2 項，這與 Mirai V3G4 一致。

與 Mirai V3G4 一致的特性還有，相同的加密表XOR Key 0xE63A69BC

以及相同的 Telnet 暴破用到的弱口令 XOR 加密 Key 0x37

不同之處是當初 Unit42 曝光時其用了多種漏洞來加速傳播，本輪傳播只使用了 Telnet 暴力破解的手段來傳播。

組織背景

通過對事件域名 api.tcprestt.top 進行溯源分析，該C&C地址屬於一個名為 Kaisen 的DDoS租賃團伙。但此次針對以色列的攻擊事件並非是租賃攻擊服務的客戶發起，而是來自 Kaisen 的 botmaster，在聊天中可以明確該名駭客的站隊立場：

總結

本輪巴以衝突未來的趨勢不明，但可以預見的是，網路空間的攻擊會伴隨物理空間的衝突結束，甚至一直持續下去。我們也會對巴以雙方陣營在網路空間的較量持續關注。

IoCs

MD5

068fff4ee2082dd21bf45bdd443e848e

259b5dd05e01a4785b22d6cf430be69a

657b9253080b2cf4a6e91d1023ae61c8

f150b954946f9d5bbda6239a41b7f2f2

398d4d16ff51d39ab3ea5559f2ea8ace

a529b5a7b22fa2fd8d85cf334fd197bf

c92549d7a6354233eae3bf4909d3480b

c367e99394c041220f4d24215ccc15d6

109eda6ed909793aabe225275db13554

57629af7af5c129e81eb53820308625b

01189a47521349fa130704df96ae93a8

09c070f2a7ae37ebbea47704c32aecb9

1ac1d6e87ab90bbc37a1a740985c5bef

de740b41c1a7f91c4a6c7186f997d46c

42060e4a7b0aca6bd8d200977b2f8bf9

bc2116dfe531c82d83b85e40ce195d4b

C&C

185.150.26.248

api.tcprestt.top

[email protected]

78.142.231.111:666

77.105.138.202:35342

79.110.62.138:655

點選閱讀原文至ALPHA 6.0

即刻助力威脅研判