1. <small id="rw2jk"></small>
      網絡安全 頻道

      一起涉及多個DDoS僵尸網絡樣本攻擊事件追蹤

        一.背景

        近期蜜網系統監測到一起涉及利用多個僵尸木馬傳播進行DDoS攻擊的安全事件。木馬樣本涉及Windows與Linux兩個平臺,通過對樣本的分析,發現這幾個樣本編寫風格都不一樣,但是硬編碼在程序中的C&C均指向同一個IP地址。推測這一系列木馬的傳播者通過購買不同的DDoS木馬進行傳播,從而構建自己的僵尸網絡進行DDoS攻擊牟利。其中有兩個樣本所屬家族為XorDDoS和ChinaZ。最后通過一系列的分析,將該威脅定性為小黑客組建僵尸網絡進行DDoS攻擊事件,同時追蹤到了惡意代碼傳播者的個人信息,包括姓名、QQ號碼、手機號、郵箱、微信等。

        二.相關樣本分析

        2.1樣本一分析:

        2.1.1樣本基本信息

      image.png

        2.1.2樣本行為

        該樣本首先會執行安裝邏輯,包括拷貝自身到Windows目錄,然后將自身注冊為服務,最后自刪除自己,安裝完成。接著注冊為服務的木馬會開始進入功能邏輯,通過爆破局域網來感染傳播,與C&C建立通訊后,等待C&C下發指令。

      image.png

        2.1.3樣本詳細分析

        (1)整體邏輯

      image.png

        (2)拷貝到Windows目錄

        生成6個字符的隨機進程名拷貝到Windows目錄

      image.png

        (3)創建服務

        服務名:Abcdef Hijklmno Qrstuvwx Abcd

        服務描述:Abcdefgh Jklmnopqr Tuvwxya Cdefghij Lmn

      image.png

      image.pngimage.png

        自啟動

      image.png

        (4)自刪除

        構建“/c del C:\Users\xxx\Desktop\gy.exe > nul”參數,使用ShellExecuteExA創建刪除自身的進程。

      image.png

      image.png

        (5)從資源釋放hra33.dll并加載

        從資源釋放文件在文件頭加上PE文件頭兩個字節“MZ”。

      image.png

      image.png

        從釋放的文件更新當前木馬服務中的資源

      image.png

      (6)爆破感染局域網

        內置字典

      image.png

        爆破成功后會拷貝自身到admin$\\、C:、D:、E:以及F:等路徑下,并創建計劃任務,2分鐘后執行。

      image.png

        (7)遠控功能部分

        與C&C建立通訊

      image.png

        解密出C&C地址為web.liancanmou.xyz:6006

      image.png

        發送上線信息

      image.png

      image.png

        遠程下載執行

      image.png

        更新

      image.pngimage.png

        使用iexplorer打開指定網頁

      image.png

        卸載

      image.png

      image.png

        DDoS攻擊模塊

      image.png

      image.png

        2.1.4 關聯分析

      image.png

        該IP對應的位置在新鄉電信機房,訪問http://123.160.10.16:3097/gy.exe下載樣本。

        通過VT Graph關聯分析該樣本早在2018-05-08已經被發現了,與本次捕獲到的樣本分析結果是一致的。

      image.png

        2.2樣本二分析:

        2.2.1樣本基本信息

      image.png

        2.2.2樣本行為

        該樣本代碼編寫十分簡單,獲取本地信息回傳CNC上線,等待CNC的DDoS指令。

      image.png

        2.2.3樣本詳細分析

        (1)整體邏輯

      image.png

      image.png

        (2)與C2建立通訊

        創建連接套接字

        C&C地址為 jch.liancanmou.xyz:52527

      image.png

        木馬通訊協議

      image.png

        (3)DDoS功能

      image.png

        并沒有用到反射放大攻擊,只是一般的flood攻擊。

      image.png

      image.png

        2.2.4關聯分析

        通過VT分析發現該樣本與a.lq4444.com這個域名相關,而該域名曾用于Linux/Elknot這個家族。通過VT顯示,a.lq4444.com這個域名與9個樣本相關。

      image.png

        2.3樣本三分析

      image.png

        樣本三與樣本二代碼是一樣的,區別是樣本三被編譯為x86架構,樣本二被編譯為x64架構。

        2.4樣本四分析:

        2.4.1樣本基本信息

      image.png

        2.4.2樣本行為

        (1)該樣本通過SSH爆破被拷貝到/tmp目錄下并開始運行

        (2)將自身注冊為服務

        (3)拷貝自身到其他目錄

        (4)設置定時任務

        (5)修改刷新iptables后,嘗試連接到遠程主機。

        (6)它會刪除/etc/resolv.conf并保存初始安裝和下載的配置數據(Config.ini)

        (7)通過發送用戶名信息連接到C&C,作為一個bot與C&C建立通訊

        (8)C&C主要發送帶目標IP地址作為參數的DDoS命令到bot機器進行DDoS攻擊

        VT行為分析:

      image.png

        2.4.3樣本詳細分析

        寫入腳本到/etc/init.d/%s/與/etc/rc%d.d/S90%s路徑下

      image.png

        設置定時任務

      image.png

        控制網卡接口

      image.png

        以.chinaz為前綴拷貝自身到/tmp/目錄下

      image.png

        安裝完成后會重啟計算機

      image.png

        DDoS相關的一些指紋,其中包含一個QQ號碼:2900570290

      image.png

      image.png

        三.事件分析

        3.1事件關聯分析

        以liancanmou.xyz這個域名為起點,結合樣本分析與VT Graph關聯分析形成以下關聯圖,可以確定123.160.10.16、180.97.220.35以及123.249.9.157這三個IP是用于作為木馬的CNC地址以及木馬分發地址。在2018年5月24日域名liancanmou.xyz從指向123.249.9.157被換位指向180.97.220.35這個IP。

      image.png

        PassiveDNS相關信息

      image.png

        3.2事件溯源

        3.2.1域名注冊信息

      image.png

        3.2.2個人信息

      image.png

      image.png

        四.IoCs

        liancanmou.xyz

        web.liancanmou.xyz

        jch.liancanmou.xyz

        wwt.liancanmou.xyz

        wwv.liancanmou.xyz

        www.liancanmou.xyz

        http://180.97.220.35:3066/Linux4.7

        http://123.160.10.16:3097/gy.exe

        http://180.97.220.35:3066/33

        http://180.97.220.35:3066/32

        180.97.220.35

        123.249.9.157

        123.160.10.16

        123.249.9.15

        123.249.79.250

        180.97.220.35

        103.248.220.196

        892833AB52DAA816918041670519EB6351AE7EC2DB7AF2C97F3AB5EE214DA173

        4A2FB58342D549347D32E54C3DA466A19BFD66364825AC7F2257995356F09AFD

        74D4776A76AD3BCB578C9757D9F18A6ADFFE8802C43E5E59B14C4E905664733D

        DBC7FC7748BD201C54B2A0189396F3101C18127A715E480C8CB808F07137822A

      0
      相關文章
        影视站,婷婷亚洲,色谷,老司机电影院