一起涉及多個DDoS殭屍網絡樣本攻擊事件追蹤
網站內容來源http://server.it168.com/
一起涉及多個DDoS殭屍網絡樣本攻擊事件追蹤
2018-05-29 14:45 來源:FreeBuf.COM 作者: 任子行 編輯:
一.背景
近期蜜網系統監測到一起涉及利用多個殭屍木馬傳播進行DDoS攻擊的安全事件。木馬樣本涉及Windows與Linux兩個平台,通過對樣本的分析,發現這幾個樣本編寫風格都不一樣,但是硬編碼在程序中的C&C均指向同一個IP地址。推測這一系列木馬的傳播者通過購買不同的DDoS木馬進行傳播,從而構建自己的殭屍網絡進行DDoS攻擊牟利。其中有兩個樣本所屬家族為XorDDoS和ChinaZ。最後通過一系列的分析,將該威脅定性為小黑客組建殭屍網絡進行DDoS攻擊事件,同時追蹤到了惡意代碼傳播者的個人信息,包括姓名、QQ號碼、手機號、郵箱、微信等。
二.相關樣本分析
2.1樣本一分析:
2.1.1樣本基本信息
2.1.2樣本行為
該樣本首先會執行安裝邏輯,包括拷貝自身到Windows目錄,然後將自身註冊為服務,最後自刪除自己,安裝完成。接着註冊為服務的木馬會開始進入功能邏輯,通過爆破局域網來感染傳播,與C&C建立通訊后,等待C&C下髮指令。
2.1.3樣本詳細分析
(1)整體邏輯
(2)拷貝到Windows目錄
生成6個字符的隨機進程名拷貝到Windows目錄
(3)創建服務
服務名:Abcdef Hijklmno Qrstuvwx Abcd
服務描述:Abcdefgh Jklmnopqr Tuvwxya Cdefghij Lmn
自啟動
(4)自刪除
構建“/c del C:\Users\xxx\Desktop\gy.exe > nul”參數,使用ShellExecuteExA創建刪除自身的進程。
(5)從資源釋放hra33.dll並加載
從資源釋放文件在文件頭加上PE文件頭兩個字節“MZ”。
從釋放的文件更新當前木馬服務中的資源
(6)爆破感染局域網
內置字典
爆破成功後會拷貝自身到admin$\\、C:、D:、E:以及F:等路徑下,並創建計劃任務,2分鐘后執行。
(7)遠控功能部分
與C&C建立通訊
解密出C&C地址為web.liancanmou.xyz:6006
發送上線信息
遠程下載執行
更新
使用iexplorer打開指定網頁
卸載
DDoS攻擊模塊
2.1.4 關聯分析
該IP對應的位置在新鄉電信機房,訪問http://123.160.10.16:3097/gy.exe下載樣本。
通過VT Graph關聯分析該樣本早在2018-05-08已經被發現了,與本次捕獲到的樣本分析結果是一致的。
2.2樣本二分析:
2.2.1樣本基本信息
2.2.2樣本行為
該樣本代碼編寫十分簡單,獲取本地信息回傳CNC上線,等待CNC的DDoS指令。
2.2.3樣本詳細分析
(1)整體邏輯
(2)與C2建立通訊
創建連接套接字
C&C地址為 jch.liancanmou.xyz:52527
木馬通訊協議
(3)DDoS功能
並沒有用到反射放大攻擊,只是一般的flood攻擊。
2.2.4關聯分析
通過VT分析發現該樣本與a.lq4444.com這個域名相關,而該域名曾用於Linux/Elknot這個家族。通過VT显示,a.lq4444.com這個域名與9個樣本相關。
2.3樣本三分析
樣本三與樣本二代碼是一樣的,區別是樣本三被編譯為x86架構,樣本二被編譯為x64架構。
2.4樣本四分析:
2.4.1樣本基本信息
2.4.2樣本行為
(1)該樣本通過SSH爆破被拷貝到/tmp目錄下並開始運行
(2)將自身註冊為服務
(3)拷貝自身到其他目錄
(4)設置定時任務
(5)修改刷新iptables后,嘗試連接到遠程主機。
(6)它會刪除/etc/resolv.conf並保存初始安裝和下載的配置數據(Config.ini)
(7)通過發送用戶名信息連接到C&C,作為一個bot與C&C建立通訊
(8)C&C主要發送帶目標IP地址作為參數的DDoS命令到bot機器進行DDoS攻擊
VT行為分析:
2.4.3樣本詳細分析
寫入腳本到/etc/init.d/%s/與/etc/rc%d.d/S90%s路徑下
設置定時任務
控制網卡接口
以.chinaz為前綴拷貝自身到/tmp/目錄下
安裝完成後會重啟計算機
DDoS相關的一些指紋,其中包含一個QQ號碼:2900570290
三.事件分析
3.1事件關聯分析
以liancanmou.xyz這個域名為起點,結合樣本分析與VT Graph關聯分析形成以下關聯圖,可以確定123.160.10.16、180.97.220.35以及123.249.9.157這三個IP是用於作為木馬的CNC地址以及木馬分發地址。在2018年5月24日域名liancanmou.xyz從指向123.249.9.157被換位指向180.97.220.35這個IP。
PassiveDNS相關信息
3.2事件溯源
3.2.1域名註冊信息
3.2.2個人信息
四.IoCs
liancanmou.xyz
web.liancanmou.xyz
jch.liancanmou.xyz
wwt.liancanmou.xyz
wwv.liancanmou.xyz
www.liancanmou.xyz
http://180.97.220.35:3066/Linux4.7
http://123.160.10.16:3097/gy.exe
http://180.97.220.35:3066/33
http://180.97.220.35:3066/32
180.97.220.35
123.249.9.157
123.160.10.16
123.249.9.15
123.249.79.250
180.97.220.35
103.248.220.196
892833AB52DAA816918041670519EB6351AE7EC2DB7AF2C97F3AB5EE214DA173
4A2FB58342D549347D32E54C3DA466A19BFD66364825AC7F2257995356F09AFD
74D4776A76AD3BCB578C9757D9F18A6ADFFE8802C43E5E59B14C4E905664733D
DBC7FC7748BD201C54B2A0189396F3101C18127A715E480C8CB808F07137822A
,
網站內容來源http://safe.it168.com/
【精選推薦文章】
想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計
帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計,各種案例分享
廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益