一起涉及多個DDoS殭屍網路樣本的攻擊事件追蹤
一.背景
近期蜜網系統監測到一起涉及利用多個殭屍木馬傳播進行DDoS攻擊的安全事件。木馬樣本涉及Windows與Linux兩個平臺,透過對樣本的分析,發現這幾個樣本編寫風格都不一樣,但是硬編碼在程式中的C&C均指向同一個IP地址。推測這一系列木馬的傳播者透過購買不同的DDoS木馬進行傳播,從而構建自己的殭屍網路進行DDoS攻擊牟利。其中有兩個樣本所屬家族為XorDDoS和ChinaZ。最後透過一系列的分析,將該威脅定性為小駭客組建殭屍網路進行DDoS攻擊事件,同時追蹤到了惡意程式碼傳播者的個人資訊,包括姓名、QQ號碼、手機號、郵箱、微信等。
二.相關樣本分析
2.1樣本一分析:
2.1.1樣本基本資訊
2.1.2樣本行為
該樣本首先會執行安裝邏輯,包括複製自身到Windows目錄,然後將自身註冊為服務,最後自刪除自己,安裝完成。接著註冊為服務的木馬會開始進入功能邏輯,透過爆破區域網來感染傳播,與C&C建立通訊後,等待C&C下發指令。
2.1.3樣本詳細分析
(1)整體邏輯
(2)複製到Windows目錄
生成6個字元的隨機程式名複製到Windows目錄
(3)建立服務
服務名:Abcdef Hijklmno Qrstuvwx Abcd
服務描述:Abcdefgh Jklmnopqr Tuvwxya Cdefghij Lmn
自啟動
(4)自刪除
構建“/c del C:\Users\xxx\Desktop\gy.exe > nul”引數,使用ShellExecuteExA建立刪除自身的程式。
(5)從資源釋放hra33.dll並載入
從資源釋放檔案在檔案頭加上PE檔案頭兩個位元組“MZ”。
從釋放的檔案更新當前木馬服務中的資源
(6)爆破感染區域網
內建字典
爆破成功後會複製自身到admin$\\、C:、D:、E:以及F:等路徑下,並建立計劃任務,2分鐘後執行。
(7)遠控功能部分
與C&C建立通訊
解密出C&C地址為web.liancanmou.xyz:6006
傳送上線資訊
遠端下載執行
更新
使用iexplorer開啟指定網頁
解除安裝
DDoS攻擊模組
2.1.4 關聯分析
該IP對應的位置在新鄉電信機房,訪問下載樣本。
透過VT Graph關聯分析該樣本早在2018-05-08已經被發現了,與本次捕獲到的樣本分析結果是一致的。
2.2樣本二分析:
2.2.1樣本基本資訊
2.2.2樣本行為
該樣本程式碼編寫十分簡單,獲取本地資訊回傳CNC上線,等待CNC的DDoS指令。
2.2.3樣本詳細分析
(1)整體邏輯
(2)與C2建立通訊
建立連線套接字
C&C地址為 jch.liancanmou.xyz:52527
木馬通訊協議
(3)DDoS功能
並沒有用到反射放大攻擊,只是一般的flood攻擊。
2.2.4關聯分析
透過VT分析發現該樣本與a.lq4444.com這個域名相關,而該域名曾用於Linux/Elknot這個家族。透過VT顯示,a.lq4444.com這個域名與9個樣本相關。
2.3樣本三分析
樣本三與樣本二程式碼是一樣的,區別是樣本三被編譯為x86架構,樣本二被編譯為x64架構。
2.4樣本四分析:
2.4.1樣本基本資訊
2.4.2樣本行為
(1)該樣本透過SSH爆破被複製到/tmp目錄下並開始執行
(2)將自身註冊為服務
(3)複製自身到其他目錄
(4)設定定時任務
(5)修改重新整理iptables後,嘗試連線到遠端主機。
(6)它會刪除/etc/resolv.conf並儲存初始安裝和下載的配置資料(Config.ini)
(7)透過傳送使用者名稱資訊連線到C&C,作為一個bot與C&C建立通訊
(8)C&C主要傳送帶目標IP地址作為引數的DDoS命令到bot機器進行DDoS攻擊
VT行為分析:
2.4.3樣本詳細分析
寫入指令碼到/etc/init.d/%s/與/etc/rc%d.d/S90%s路徑下
設定定時任務
控制網路卡介面
以.chinaz為字首複製自身到/tmp/目錄下
安裝完成後會重啟計算機
DDoS相關的一些指紋,其中包含一個QQ號碼:2900570290
三.事件分析
3.1事件關聯分析
以liancanmou.xyz這個域名為起點,結合樣本分析與VT Graph關聯分析形成以下關聯圖,可以確定123.160.10.16、180.97.220.35以及123.249.9.157這三個IP是用於作為木馬的CNC地址以及木馬分發地址。在2018年5月24日域名liancanmou.xyz從指向123.249.9.157被換位指向180.97.220.35這個IP。
PassiveDNS相關資訊
3.2事件溯源
3.2.1域名註冊資訊
3.2.2個人資訊
四.IoCs
liancanmou.xyz
web.liancanmou.xyz
jch.liancanmou.xyz
wwt.liancanmou.xyz
wwv.liancanmou.xyz
180.97.220.35
123.249.9.157
123.160.10.16
123.249.9.15
123.249.79.250
180.97.220.35
103.248.220.196
892833AB52DAA816918041670519EB6351AE7EC2DB7AF2C97F3AB5EE214DA173
4A2FB58342D549347D32E54C3DA466A19BFD66364825AC7F2257995356F09AFD
74D4776A76AD3BCB578C9757D9F18A6ADFFE8802C43E5E59B14C4E905664733D
DBC7FC7748BD201C54B2A0189396F3101C18127A715E480C8CB808F07137822A
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2155279/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Chalubo殭屍網路來襲 IOT裝置或將受到DDoS攻擊
- Web Worker應用之CORS攻擊實現botnet殭屍網路節點攻擊WebCORS
- 怎樣有效的治理殭屍網路?
- 快速進擊的挖礦殭屍網路:單日攻擊破10萬次
- 什麼是殭屍網路攻擊?安全專業人員指南
- Muhstik殭屍網路木馬來襲,挖礦、攻擊兩不誤
- 如何有效的治理殭屍網路以此來避免遭遇DDOS?
- 深度追蹤Mozi殭屍網路:360安全大腦精準溯源,揪出幕後黑手
- 【江民播報】俄羅斯最大搜尋引擎遭創紀錄DDoS攻擊:真兇為Mēris殭屍網路
- 決戰Cookie殭屍:惡性追蹤API意在“提高警惕”CookieAPI
- 某殭屍網路被控端惡意樣本分析
- 卡巴斯基實驗室:2017年10.8%的工業控制系統受到殭屍網路攻擊
- 網路攻擊中常見掩蓋真實IP的攻擊方式及虛假IP地址追蹤溯源方法
- 什麼是殭屍網路
- 帶你瞭解殭屍網路是怎樣組成的?
- DDoS攻擊多種多樣,防DDoS事後補救恐怕鞭長莫及啊!
- 網際網路公司如何防禦DDoS攻擊?
- 警方破獲超大DDoS黑產案,20萬個殭屍網路運營商被抓
- Mirai殭屍網路重出江湖AI
- 如何防範DDoS攻擊,使自己的網站減緩DDoS攻擊呢?網站
- 【網路安全】如何有效地防禦DDOS攻擊和CC攻擊?
- 2016年DOS/DDOS網路攻擊數量翻倍
- 殭屍網路XorDDoS的原理分析與清除
- 追蹤奧地利網路攻擊 硝煙再起的祕密藏在地緣政治猜疑裡
- DDos攻擊
- 【網路安全知識】DDOS攻擊和CC攻擊有什麼區別?
- 殭屍蜜網:首款具備誘捕及反探測能力的物聯網殭屍網路
- 揭秘Neutrino殭屍網路生成器
- RDP服務之GoldBrute殭屍網路Go
- 超大規模的物聯網殭屍網路:Pink
- 如何防禦DDoS攻擊?學習網路安全多久?
- 瞄準Windows的新興殭屍網路:KrakenWindows
- DDoS攻擊的危害是什麼?如何防禦DDoS攻擊?
- 【網路安全入門知識】如何有效防禦DDoS攻擊和CC攻擊?
- 【格物獵蹤】突發-新型Gafgyt殭屍網路變種感染Seowon路由器路由器
- 什麼是DDoS攻擊?如何防範DDoS攻擊?
- 網路分流器-網路分流器-DDoS攻擊與防護
- 新型 Linux 殭屍網路變種“EnemyBot”現身!利用 Web 伺服器、Android 及 CMS 漏洞進行攻擊LinuxWeb伺服器Android