一起涉及多個DDoS殭屍網絡樣本攻擊事件追蹤

網站內容來源http://server.it168.com/

一起涉及多個DDoS殭屍網絡樣本攻擊事件追蹤

2018-05-29 14:45    來源:FreeBuf.COM  作者: 任子行 編輯:
0購買

  一.背景

近期蜜網系統監測到一起涉及利用多個殭屍木馬傳播進行DDoS攻擊的安全事件。木馬樣本涉及Windows與Linux兩個平台,通過對樣本的分析,發現這幾個樣本編寫風格都不一樣,但是硬編碼在程序中的C&C均指向同一個IP地址。推測這一系列木馬的傳播者通過購買不同的DDoS木馬進行傳播,從而構建自己的殭屍網絡進行DDoS攻擊牟利。其中有兩個樣本所屬家族為XorDDoS和ChinaZ。最後通過一系列的分析,將該威脅定性為小黑客組建殭屍網絡進行DDoS攻擊事件,同時追蹤到了惡意代碼傳播者的個人信息,包括姓名、QQ號碼、手機號、郵箱、微信等。

  二.相關樣本分析

2.1樣本一分析:

2.1.1樣本基本信息

2.1.2樣本行為

該樣本首先會執行安裝邏輯,包括拷貝自身到Windows目錄,然後將自身註冊為服務,最後自刪除自己,安裝完成。接着註冊為服務的木馬會開始進入功能邏輯,通過爆破局域網來感染傳播,與C&C建立通訊后,等待C&C下髮指令。

2.1.3樣本詳細分析

(1)整體邏輯

(2)拷貝到Windows目錄

生成6個字符的隨機進程名拷貝到Windows目錄

(3)創建服務

服務名:Abcdef Hijklmno Qrstuvwx Abcd

服務描述:Abcdefgh Jklmnopqr Tuvwxya Cdefghij Lmn

自啟動

(4)自刪除

構建“/c del C:\Users\xxx\Desktop\gy.exe > nul”參數,使用ShellExecuteExA創建刪除自身的進程。

(5)從資源釋放hra33.dll並加載

從資源釋放文件在文件頭加上PE文件頭兩個字節“MZ”。

從釋放的文件更新當前木馬服務中的資源

(6)爆破感染局域網

內置字典

爆破成功後會拷貝自身到admin$\\、C:、D:、E:以及F:等路徑下,並創建計劃任務,2分鐘后執行。

(7)遠控功能部分

與C&C建立通訊

解密出C&C地址為web.liancanmou.xyz:6006

發送上線信息

遠程下載執行

更新

使用iexplorer打開指定網頁

卸載

DDoS攻擊模塊

2.1.4 關聯分析

該IP對應的位置在新鄉電信機房,訪問http://123.160.10.16:3097/gy.exe下載樣本。

通過VT Graph關聯分析該樣本早在2018-05-08已經被發現了,與本次捕獲到的樣本分析結果是一致的。

2.2樣本二分析:

2.2.1樣本基本信息

2.2.2樣本行為

該樣本代碼編寫十分簡單,獲取本地信息回傳CNC上線,等待CNC的DDoS指令。

2.2.3樣本詳細分析

(1)整體邏輯

(2)與C2建立通訊

創建連接套接字

C&C地址為 jch.liancanmou.xyz:52527

木馬通訊協議

(3)DDoS功能

並沒有用到反射放大攻擊,只是一般的flood攻擊。

2.2.4關聯分析

通過VT分析發現該樣本與a.lq4444.com這個域名相關,而該域名曾用於Linux/Elknot這個家族。通過VT显示,a.lq4444.com這個域名與9個樣本相關。

2.3樣本三分析

樣本三與樣本二代碼是一樣的,區別是樣本三被編譯為x86架構,樣本二被編譯為x64架構。

2.4樣本四分析:

2.4.1樣本基本信息

2.4.2樣本行為

(1)該樣本通過SSH爆破被拷貝到/tmp目錄下並開始運行

(2)將自身註冊為服務

(3)拷貝自身到其他目錄

(4)設置定時任務

(5)修改刷新iptables后,嘗試連接到遠程主機。

(6)它會刪除/etc/resolv.conf並保存初始安裝和下載的配置數據(Config.ini)

(7)通過發送用戶名信息連接到C&C,作為一個bot與C&C建立通訊

(8)C&C主要發送帶目標IP地址作為參數的DDoS命令到bot機器進行DDoS攻擊

VT行為分析:

2.4.3樣本詳細分析

寫入腳本到/etc/init.d/%s/與/etc/rc%d.d/S90%s路徑下

設置定時任務

控制網卡接口

以.chinaz為前綴拷貝自身到/tmp/目錄下

安裝完成後會重啟計算機

DDoS相關的一些指紋,其中包含一個QQ號碼:2900570290

  三.事件分析

3.1事件關聯分析

以liancanmou.xyz這個域名為起點,結合樣本分析與VT Graph關聯分析形成以下關聯圖,可以確定123.160.10.16、180.97.220.35以及123.249.9.157這三個IP是用於作為木馬的CNC地址以及木馬分發地址。在2018年5月24日域名liancanmou.xyz從指向123.249.9.157被換位指向180.97.220.35這個IP。

PassiveDNS相關信息

3.2事件溯源

3.2.1域名註冊信息

3.2.2個人信息

  四.IoCs

liancanmou.xyz

web.liancanmou.xyz

jch.liancanmou.xyz

wwt.liancanmou.xyz

wwv.liancanmou.xyz

www.liancanmou.xyz

http://180.97.220.35:3066/Linux4.7

http://123.160.10.16:3097/gy.exe

http://180.97.220.35:3066/33

http://180.97.220.35:3066/32

180.97.220.35

123.249.9.157

123.160.10.16

123.249.9.15

123.249.79.250

180.97.220.35

103.248.220.196

892833AB52DAA816918041670519EB6351AE7EC2DB7AF2C97F3AB5EE214DA173

4A2FB58342D549347D32E54C3DA466A19BFD66364825AC7F2257995356F09AFD

74D4776A76AD3BCB578C9757D9F18A6ADFFE8802C43E5E59B14C4E905664733D

DBC7FC7748BD201C54B2A0189396F3101C18127A715E480C8CB808F07137822A

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

一起涉及多個DDoS殭屍網絡樣本攻擊事件追蹤