<em id="rt9bf"></em>

    <cite id="rt9bf"><font id="rt9bf"></font></cite><strike id="rt9bf"></strike>
    <span id="rt9bf"><thead id="rt9bf"><meter id="rt9bf"></meter></thead></span>

    <pre id="rt9bf"><font id="rt9bf"><p id="rt9bf"></p></font></pre>
    <span id="rt9bf"></span>
    <video id="rt9bf"></video>

    網絡安全 頻道

    一起涉及多個DDoS僵尸網絡樣本攻擊事件追蹤

      一.背景

      近期蜜網系統監測到一起涉及利用多個僵尸木馬傳播進行DDoS攻擊的安全事件。木馬樣本涉及Windows與Linux兩個平臺,通過對樣本的分析,發現這幾個樣本編寫風格都不一樣,但是硬編碼在程序中的C&C均指向同一個IP地址。推測這一系列木馬的傳播者通過購買不同的DDoS木馬進行傳播,從而構建自己的僵尸網絡進行DDoS攻擊牟利。其中有兩個樣本所屬家族為XorDDoS和ChinaZ。最后通過一系列的分析,將該威脅定性為小黑客組建僵尸網絡進行DDoS攻擊事件,同時追蹤到了惡意代碼傳播者的個人信息,包括姓名、QQ號碼、手機號、郵箱、微信等。

      二.相關樣本分析

      2.1樣本一分析:

      2.1.1樣本基本信息

    image.png

      2.1.2樣本行為

      該樣本首先會執行安裝邏輯,包括拷貝自身到Windows目錄,然后將自身注冊為服務,最后自刪除自己,安裝完成。接著注冊為服務的木馬會開始進入功能邏輯,通過爆破局域網來感染傳播,與C&C建立通訊后,等待C&C下發指令。

    image.png

      2.1.3樣本詳細分析

      (1)整體邏輯

    image.png

      (2)拷貝到Windows目錄

      生成6個字符的隨機進程名拷貝到Windows目錄

    image.png

      (3)創建服務

      服務名:Abcdef Hijklmno Qrstuvwx Abcd

      服務描述:Abcdefgh Jklmnopqr Tuvwxya Cdefghij Lmn

    image.png

    image.pngimage.png

      自啟動

    image.png

      (4)自刪除

      構建“/c del C:\Users\xxx\Desktop\gy.exe > nul”參數,使用ShellExecuteExA創建刪除自身的進程。

    image.png

    image.png

      (5)從資源釋放hra33.dll并加載

      從資源釋放文件在文件頭加上PE文件頭兩個字節“MZ”。

    image.png

    image.png

      從釋放的文件更新當前木馬服務中的資源

    image.png

    (6)爆破感染局域網

      內置字典

    image.png

      爆破成功后會拷貝自身到admin$\\、C:、D:、E:以及F:等路徑下,并創建計劃任務,2分鐘后執行。

    image.png

      (7)遠控功能部分

      與C&C建立通訊

    image.png

      解密出C&C地址為web.liancanmou.xyz:6006

    image.png

      發送上線信息

    image.png

    image.png

      遠程下載執行

    image.png

      更新

    image.pngimage.png

      使用iexplorer打開指定網頁

    image.png

      卸載

    image.png

    image.png

      DDoS攻擊模塊

    image.png

    image.png

      2.1.4 關聯分析

    image.png

      該IP對應的位置在新鄉電信機房,訪問http://123.160.10.16:3097/gy.exe下載樣本。

      通過VT Graph關聯分析該樣本早在2018-05-08已經被發現了,與本次捕獲到的樣本分析結果是一致的。

    image.png

      2.2樣本二分析:

      2.2.1樣本基本信息

    image.png

      2.2.2樣本行為

      該樣本代碼編寫十分簡單,獲取本地信息回傳CNC上線,等待CNC的DDoS指令。

    image.png

      2.2.3樣本詳細分析

      (1)整體邏輯

    image.png

    image.png

      (2)與C2建立通訊

      創建連接套接字

      C&C地址為 jch.liancanmou.xyz:52527

    image.png

      木馬通訊協議

    image.png

      (3)DDoS功能

    image.png

      并沒有用到反射放大攻擊,只是一般的flood攻擊。

    image.png

    image.png

      2.2.4關聯分析

      通過VT分析發現該樣本與a.lq4444.com這個域名相關,而該域名曾用于Linux/Elknot這個家族。通過VT顯示,a.lq4444.com這個域名與9個樣本相關。

    image.png

      2.3樣本三分析

    image.png

      樣本三與樣本二代碼是一樣的,區別是樣本三被編譯為x86架構,樣本二被編譯為x64架構。

      2.4樣本四分析:

      2.4.1樣本基本信息

    image.png

      2.4.2樣本行為

      (1)該樣本通過SSH爆破被拷貝到/tmp目錄下并開始運行

      (2)將自身注冊為服務

      (3)拷貝自身到其他目錄

      (4)設置定時任務

      (5)修改刷新iptables后,嘗試連接到遠程主機。

      (6)它會刪除/etc/resolv.conf并保存初始安裝和下載的配置數據(Config.ini)

      (7)通過發送用戶名信息連接到C&C,作為一個bot與C&C建立通訊

      (8)C&C主要發送帶目標IP地址作為參數的DDoS命令到bot機器進行DDoS攻擊

      VT行為分析:

    image.png

      2.4.3樣本詳細分析

      寫入腳本到/etc/init.d/%s/與/etc/rc%d.d/S90%s路徑下

    image.png

      設置定時任務

    image.png

      控制網卡接口

    image.png

      以.chinaz為前綴拷貝自身到/tmp/目錄下

    image.png

      安裝完成后會重啟計算機

    image.png

      DDoS相關的一些指紋,其中包含一個QQ號碼:2900570290

    image.png

    image.png

      三.事件分析

      3.1事件關聯分析

      以liancanmou.xyz這個域名為起點,結合樣本分析與VT Graph關聯分析形成以下關聯圖,可以確定123.160.10.16、180.97.220.35以及123.249.9.157這三個IP是用于作為木馬的CNC地址以及木馬分發地址。在2018年5月24日域名liancanmou.xyz從指向123.249.9.157被換位指向180.97.220.35這個IP。

    image.png

      PassiveDNS相關信息

    image.png

      3.2事件溯源

      3.2.1域名注冊信息

    image.png

      3.2.2個人信息

    image.png

    image.png

      四.IoCs

      liancanmou.xyz

      web.liancanmou.xyz

      jch.liancanmou.xyz

      wwt.liancanmou.xyz

      wwv.liancanmou.xyz

      www.liancanmou.xyz

      http://180.97.220.35:3066/Linux4.7

      http://123.160.10.16:3097/gy.exe

      http://180.97.220.35:3066/33

      http://180.97.220.35:3066/32

      180.97.220.35

      123.249.9.157

      123.160.10.16

      123.249.9.15

      123.249.79.250

      180.97.220.35

      103.248.220.196

      892833AB52DAA816918041670519EB6351AE7EC2DB7AF2C97F3AB5EE214DA173

      4A2FB58342D549347D32E54C3DA466A19BFD66364825AC7F2257995356F09AFD

      74D4776A76AD3BCB578C9757D9F18A6ADFFE8802C43E5E59B14C4E905664733D

      DBC7FC7748BD201C54B2A0189396F3101C18127A715E480C8CB808F07137822A

    0
    相關文章
      影视站,婷婷亚洲,色谷,老司机电影院