freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一起涉及多个DDoS僵尸网络样本的攻击事件追踪
2018-05-29 10:00:00

一.背景

近期蜜网系统监测到一起涉及利用多个僵尸木马传播进行DDoS攻击的安全事件。木马样本涉及Windows与Linux两个平台,通过对样本的分析,发现这几个样本编写风格都不一样,但是硬编码在程序中的C&C均指向同一个IP地址。推测这一系列木马的传播者通过购买不同的DDoS木马进行传播,从而构建自己的僵尸网络进行DDoS攻击牟利。其中有两个样本所属家族为XorDDoS和ChinaZ。最后通过一系列的分析,将该威胁定性为小黑客组建僵尸网络进行DDoS攻击事件,同时追踪到了恶意代码传播者的个人信息,包括姓名、QQ号码、手机号、邮箱、微信等。

二.相关样本分析

2.1样本一分析:

2.1.1样本基本信息

image.png

2.1.2样本行为

该样本首先会执行安装逻辑,包括拷贝自身到Windows目录,然后将自身注册为服务,最后自删除自己,安装完成。接着注册为服务的木马会开始进入功能逻辑,通过爆破局域网来感染传播,与C&C建立通讯后,等待C&C下发指令。

image.png

2.1.3样本详细分析

(1)整体逻辑

image.png

(2)拷贝到Windows目录

生成6个字符的随机进程名拷贝到Windows目录

image.png

(3)创建服务

服务名:Abcdef Hijklmno Qrstuvwx Abcd

服务描述:Abcdefgh Jklmnopqr Tuvwxya Cdefghij Lmn

image.png

image.pngimage.png

自启动

image.png

(4)自删除

构建“/c del C:\Users\xxx\Desktop\gy.exe > nul”参数,使用ShellExecuteExA创建删除自身的进程。

image.png

image.png

(5)从资源释放hra33.dll并加载

从资源释放文件在文件头加上PE文件头两个字节“MZ”。

image.png

image.png

从释放的文件更新当前木马服务中的资源

image.png(6)爆破感染局域网

内置字典

image.png

爆破成功后会拷贝自身到admin$\\、C:、D:、E:以及F:等路径下,并创建计划任务,2分钟后执行。

image.png

(7)远控功能部分

与C&C建立通讯

image.png

解密出C&C地址为web.liancanmou.xyz:6006

image.png

发送上线信息

image.png

image.png

远程下载执行

image.png更新

image.pngimage.png

使用iexplorer打开指定网页

image.png

卸载

image.png

image.png

DDoS攻击模块

image.png

image.png

2.1.4 关联分析

image.png

该IP对应的位置在新乡电信机房,访问http://123.160.10.16:3097/gy.exe下载样本。

通过VT Graph关联分析该样本早在2018-05-08已经被发现了,与本次捕获到的样本分析结果是一致的。

image.png

2.2样本二分析:

2.2.1样本基本信息

image.png

2.2.2样本行为

该样本代码编写十分简单,获取本地信息回传CNC上线,等待CNC的DDoS指令。

image.png

2.2.3样本详细分析

(1)整体逻辑

image.png

image.png

(2)与C2建立通讯

创建连接套接字

C&C地址为 jch.liancanmou.xyz:52527

image.png

木马通讯协议

image.png

(3)DDoS功能

image.png

并没有用到反射放大攻击,只是一般的flood攻击。

image.png

image.png

2.2.4关联分析

通过VT分析发现该样本与a.lq4444.com这个域名相关,而该域名曾用于Linux/Elknot这个家族。通过VT显示,a.lq4444.com这个域名与9个样本相关。

image.png

2.3样本三分析

image.png

样本三与样本二代码是一样的,区别是样本三被编译为x86架构,样本二被编译为x64架构。

2.4样本四分析:

2.4.1样本基本信息

image.png

2.4.2样本行为

(1)该样本通过SSH爆破被拷贝到/tmp目录下并开始运行

(2)将自身注册为服务

(3)拷贝自身到其他目录

(4)设置定时任务

(5)修改刷新iptables后,尝试连接到远程主机。

(6)它会删除/etc/resolv.conf并保存初始安装和下载的配置数据(Config.ini)

(7)通过发送用户名信息连接到C&C,作为一个bot与C&C建立通讯

(8)C&C主要发送带目标IP地址作为参数的DDoS命令到bot机器进行DDoS攻击

VT行为分析:

image.png

2.4.3样本详细分析

写入脚本到/etc/init.d/%s/与/etc/rc%d.d/S90%s路径下

image.png

设置定时任务

image.png

控制网卡接口

image.png

以.chinaz为前缀拷贝自身到/tmp/目录下

image.png

安装完成后会重启计算机

image.png

DDoS相关的一些指纹,其中包含一个QQ号码:2900570290

image.png

image.png

三.事件分析

3.1事件关联分析

以liancanmou.xyz这个域名为起点,结合样本分析与VT Graph关联分析形成以下关联图,可以确定123.160.10.16、180.97.220.35以及123.249.9.157这三个IP是用于作为木马的CNC地址以及木马分发地址。在2018年5月24日域名liancanmou.xyz从指向123.249.9.157被换位指向180.97.220.35这个IP。

image.png

PassiveDNS相关信息

image.png

3.2事件溯源

3.2.1域名注册信息

image.png

3.2.2个人信息

image.png

image.png

四.IoCs

liancanmou.xyz

web.liancanmou.xyz

jch.liancanmou.xyz

wwt.liancanmou.xyz

wwv.liancanmou.xyz

www.liancanmou.xyz

http://180.97.220.35:3066/Linux4.7

http://123.160.10.16:3097/gy.exe

http://180.97.220.35:3066/33

http://180.97.220.35:3066/32

180.97.220.35

123.249.9.157

123.160.10.16

123.249.9.15

123.249.79.250

180.97.220.35

103.248.220.196

892833AB52DAA816918041670519EB6351AE7EC2DB7AF2C97F3AB5EE214DA173

4A2FB58342D549347D32E54C3DA466A19BFD66364825AC7F2257995356F09AFD

74D4776A76AD3BCB578C9757D9F18A6ADFFE8802C43E5E59B14C4E905664733D

DBC7FC7748BD201C54B2A0189396F3101C18127A715E480C8CB808F07137822A

* 本文作者:任子行,转载注明来自FreeBuf.COM

# ddos # 僵尸网络
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者