0x00 概述
安天追影小组通过威胁态势感知系统发现了一个DDoS攻击控制事件。从一个控制事件开始进行了一次黑客追踪之旅。经过关联分析找到控制C2的样本,该样本是采用暴风内核的DDoS家族变种,运行后安装.net clr 的服务,释放hra33.dll,进行局域网弱口令的登录感染共享目录,接受黑客控制等待发起DDoS攻击。
通过黑客控制服务器域名,追踪发现小黑客“谭X“ ,其搭建的网站有销售DDoS攻击服务 。另外该样本中暗藏其它黑客的后门,利用云服务器对该木马进行控制。虽然没有进行hacking back,但是通过代码同源性关联发现了鬼影VIP版本控制端生成的服务端与本次发现的样本高度一致。进而发现了该样本的控制端为鬼影压力测试。
0x01 样本分析
威胁感知系统发现一起暴风控制事件:
时间:2015-11-18 14:43:35 , 恶意代码名称: Trojan/Win32.StormDDoS.gen 源IP: *.113.14.90 源端口: 49436 目的IP: *.*.56.8 目的端口: 8080
经过关联发现了一些相关的样本,其中有一个的MD5为 8B23922AE8FAA55FCED2EB9F1A9903B6。
运行后安装服务名为.net clr 的服务,然后退出进程。该服务的派遣例程主要是释放hra33.dll并且以资源更新的方式替换注册表下.net clr服务对应的镜像文件。随后创建3个线程。
获取用户本地主机IP地址和端口,并进行弱口令的登录测试以尝试入侵到本地主机服务器上。若入侵成功,则在服务器上创建病毒进程gfld.exe (线程1)其中进行弱口令猜解的登录名及密码以感染整个网段。样本首先获取本机ip地址,假设为192.168.0.11,后调用api WNetAddConnection2A尝试对整个网段(192.168.0.1~192.168.0.254)进行弱密码猜解连接,若成功,则调用copyfileA将自身复制到该主机上.远程执行该程序。
获取用户的电脑的操作系统的版本信息、CPU处理的频率和数目信息、系统的内存信息、使用的网络流量的信息以及用户电脑从启动到现在的上线时间,将用户的这些信息发送给病毒作者。
向网址.xyz发起连接,接受病毒作者命令控制。.xyz网址是硬编码到服务端代码中的,而暴风DDoS控制端生成的服务端的网络信息配置是加密保存的。因此硬编码明文这个网址是一个黑吃黑的后门。
图 硬编码C2域名
图 加密配置域名信息
样本8B23922AE8FAA55FCED2EB9F1A9903B6网络链接信息如下:
域名 | IP | 最后活跃时间 | 操作系统 | 控制端口 | 样本位置 |
---|---|---|---|---|---|
hacker22.com | 代码push | ||||
2c3tn3a.ssdqp.xyz | 阿里云*50.4 | 2015.12 | Windows | 8080、2015 | 代码硬编码 |
*.*.56.8 | 2015.11 | 8080 | 加密配置 |
关联样本2网络信息如下:
域名 | IP | 最后活跃时间 | 操作系统 | 控制端口 | 样本位置 |
---|---|---|---|---|---|
hacker22.com | 代码push | ||||
aiqing.txddos.com | *.*.118.124 | 2015.12 | Windows | 8880、8888 、2003 | 代码硬编码 |
98syn.com | *.*.202.92 | 2015.11 | Windows | 8080、10771、9851 | 加密配置 |
0x02 黑客追踪
小黑1
通过安全事件的IP *.*.56.8找到关联的历史域名,域名关联出邮箱和QQ,在其空间里面的描述可以确认这个“xiaoqi“也有宣传DDoS服务,包括“D单打死付款”,另外还做针对韩国的木马免杀任务。Xiaoqi这个名字是其姓名最后一个字“琪”的拼音,人称“小琪”。
可以得到该黑客的一个整体信息:
小黑2
样本涉及多个域名,有两个有隐私保护。Hacker22.com关联了QQ邮箱,该邮箱还申请了多个域名,除了hacker外,还有 ddos等计算机威胁敏感词汇并且可以注意到注册人的信息,Tan qing。其中一个域名:*ddos.com为该黑客用来售卖服务器攻击的主页。
图 关联追踪
黑吃黑
在黑客谭x使用的多个样本中发现的后门至少有两个,一个是以.xyz域名采用云服务器,另一个是txddos.com,虽然隐私保护了。但由于其使用多个域名绑定一个IP,导致其信息被追踪到。号称“龙哥“的幕后。
0x03 开发者追踪
攻击者追踪主要利用域名进行关联,特别是非免费域名,而开发者追踪则需要代码同源性的关联,该样本的代码与暴风DDoS代码很相似,但是还是有很多变化,通过二进制数据特征关联发现与鬼影VIP的服务端图标是一致的,整个程序文件也是高度相似。鬼影防火墙压力测试正是采用了暴风DDoS的代码开发而成。
图 图标一致查看
图 控制端
0x04 总结
在DDoS这种黑产中小黑客泛滥,技术水平不高,黑吃黑常有发生,攻击者的控制服务器也从虚拟机主机运营商向云计算服务商转移,云计算服务商应该在保护自身防御DDoS攻击的同时也应该担负其发现并阻止利用云服务器进行黑客DDoS控制的网络犯罪的活动。受到DDoS攻击的企业则通可通过威胁情报平台及时获取威胁信息,对DDoS攻击除了进行防御还可以进行追踪还击。
* 作者:安天追影(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)