一起涉及多個DDoS殭屍網路樣本的攻擊事件追蹤

一．背景

近期蜜網系統監測到一起涉及利用多個殭屍木馬傳播進行DDoS攻擊的安全事件。木馬樣本涉及Windows與Linux兩個平臺，透過對樣本的分析，發現這幾個樣本編寫風格都不一樣，但是硬編碼在程式中的C&C均指向同一個IP地址。推測這一系列木馬的傳播者透過購買不同的DDoS木馬進行傳播，從而構建自己的殭屍網路進行DDoS攻擊牟利。其中有兩個樣本所屬家族為XorDDoS和ChinaZ。最後透過一系列的分析，將該威脅定性為小駭客組建殭屍網路進行DDoS攻擊事件，同時追蹤到了惡意程式碼傳播者的個人資訊，包括姓名、QQ號碼、手機號、郵箱、微信等。

二．相關樣本分析

2.1樣本一分析：

2.1.1樣本基本資訊

2.1.2樣本行為

該樣本首先會執行安裝邏輯，包括複製自身到Windows目錄，然後將自身註冊為服務，最後自刪除自己，安裝完成。接著註冊為服務的木馬會開始進入功能邏輯，透過爆破區域網來感染傳播，與C&C建立通訊後，等待C&C下發指令。

2.1.3樣本詳細分析

（1）整體邏輯

（2）複製到Windows目錄

生成6個字元的隨機程式名複製到Windows目錄

（3）建立服務

服務名：Abcdef Hijklmno Qrstuvwx Abcd

服務描述：Abcdefgh Jklmnopqr Tuvwxya Cdefghij Lmn

自啟動

（4）自刪除

構建“/c del C:\Users\xxx\Desktop\gy.exe > nul”引數，使用ShellExecuteExA建立刪除自身的程式。

（5）從資源釋放hra33.dll並載入

從資源釋放檔案在檔案頭加上PE檔案頭兩個位元組“MZ”。

從釋放的檔案更新當前木馬服務中的資源

（6）爆破感染區域網

內建字典

爆破成功後會複製自身到admin$\\、C：、D:、E：以及F:等路徑下，並建立計劃任務，2分鐘後執行。

（7）遠控功能部分

與C&C建立通訊

解密出C&C地址為web.liancanmou.xyz:6006

傳送上線資訊

遠端下載執行

更新

使用iexplorer開啟指定網頁

解除安裝

DDoS攻擊模組

2.1.4 關聯分析

該IP對應的位置在新鄉電信機房，訪問下載樣本。

透過VT Graph關聯分析該樣本早在2018-05-08已經被發現了，與本次捕獲到的樣本分析結果是一致的。

2.2樣本二分析：

2.2.1樣本基本資訊

2.2.2樣本行為

該樣本程式碼編寫十分簡單，獲取本地資訊回傳CNC上線，等待CNC的DDoS指令。

2.2.3樣本詳細分析

（1）整體邏輯

（2）與C2建立通訊

建立連線套接字

C&C地址為 jch.liancanmou.xyz:52527

木馬通訊協議

（3）DDoS功能

並沒有用到反射放大攻擊，只是一般的flood攻擊。

2.2.4關聯分析

透過VT分析發現該樣本與a.lq4444.com這個域名相關，而該域名曾用於Linux/Elknot這個家族。透過VT顯示，a.lq4444.com這個域名與9個樣本相關。

2.3樣本三分析

樣本三與樣本二程式碼是一樣的，區別是樣本三被編譯為x86架構，樣本二被編譯為x64架構。

2.4樣本四分析：

2.4.1樣本基本資訊

2.4.2樣本行為

（1）該樣本透過SSH爆破被複製到/tmp目錄下並開始執行

（2）將自身註冊為服務

（3）複製自身到其他目錄

（4）設定定時任務

（5）修改重新整理iptables後，嘗試連線到遠端主機。

（6）它會刪除/etc/resolv.conf並儲存初始安裝和下載的配置資料（Config.ini）

（7）透過傳送使用者名稱資訊連線到C&C，作為一個bot與C&C建立通訊

（8）C&C主要傳送帶目標IP地址作為引數的DDoS命令到bot機器進行DDoS攻擊

VT行為分析：

2.4.3樣本詳細分析

寫入指令碼到/etc/init.d/%s/與/etc/rc%d.d/S90%s路徑下

設定定時任務

控制網路卡介面

以.chinaz為字首複製自身到/tmp/目錄下

安裝完成後會重啟計算機

DDoS相關的一些指紋，其中包含一個QQ號碼：2900570290

三．事件分析

3.1事件關聯分析

以liancanmou.xyz這個域名為起點，結合樣本分析與VT Graph關聯分析形成以下關聯圖，可以確定123.160.10.16、180.97.220.35以及123.249.9.157這三個IP是用於作為木馬的CNC地址以及木馬分發地址。在2018年5月24日域名liancanmou.xyz從指向123.249.9.157被換位指向180.97.220.35這個IP。

PassiveDNS相關資訊

3.2事件溯源

3.2.1域名註冊資訊

3.2.2個人資訊

四．IoCs

liancanmou.xyz

web.liancanmou.xyz

jch.liancanmou.xyz

wwt.liancanmou.xyz

wwv.liancanmou.xyz

180.97.220.35

123.249.9.157

123.160.10.16

123.249.9.15

123.249.79.250

180.97.220.35

103.248.220.196

892833AB52DAA816918041670519EB6351AE7EC2DB7AF2C97F3AB5EE214DA173

4A2FB58342D549347D32E54C3DA466A19BFD66364825AC7F2257995356F09AFD 

74D4776A76AD3BCB578C9757D9F18A6ADFFE8802C43E5E59B14C4E905664733D 

DBC7FC7748BD201C54B2A0189396F3101C18127A715E480C8CB808F07137822A