从2017年中“永久之蓝”讹诈病毒席卷全球,到2018年终的“英特尔CPU破绽事情”大迸发,近年来,随着网络技术程度的不时提升,以“云物移大智”等为代表的新兴技术失掉普遍使用,新产业新形式层出不穷,带来了全新的商业化图景,但随之而来的日益严重的信息平安成绩,也让人们对网络平安愈发关注与注重。
近日,金山云安珀实验室成功破获一同应用大规模僵尸网络停止大流量DDoS攻击的有组织活动,经深化调查后发现,该组织掌握的肉鸡最多高达75万台,经过层层加密藏匿攻击源头,在幕后对企业、机构发起针对性的大规模DDoS攻击,进而谋取不合理利益。
安珀实验室监控到网络流量突发异常后,第一工夫停止剖析排查,确定异常流量来自某几台被控制的云主机,正在在对外发起大流量的DDoS攻击,深化调查后发现,这些云主机属于某僵尸网络控制的肉鸡,最初顺藤摸瓜,成功追踪到攻击源。上面详细引见剖析进程。
1. 入侵剖析
首先,依据事发主机的流量特征,在金山云散布式蜜网平台中找到了被植入同一木马的零碎,然后提取了蜜罐中发起DDoS攻击的木马顺序,称号为libudev.so。并经过流量监控,取得了该木马衔接的C&C控制端IP:203.12.*.*。
随后从该样本中提取出三个C&C控制端效劳器的域名:
baidu.gd***.com
pcdown.gd***.com
soft8.gd***.com
其中一个域名pcdown.gd***.com没有解析记载,可以判别是备用域名。另外两个域名解析到某一台香港效劳器上,IP正是前文提到的C&C控制端IP:203.12.*.*。
经过搜索根域名gd***.com的要挟情报数据,发现该根域名注册于2015年,域名拥有者对该域名的Whois信息停止了藏匿。经过对历史数据的查询,找到一个晚期注册该域名的邮箱:145612****@***.com
2. 身份溯源
经过技术手腕,拿到了C&C控制端机器(简称c1)的登入日志,综合剖析后断定c1为入侵者自己运用,而不是肉鸡。从日志来源IP可以看到,入侵者有一定反侦查认识,应用了至多一层跳板主机希图隐藏本人的真实IP,跳板主机IP为45.32.*.*(简称为v1),归属地为日本。
同时,我们发现这台主机还会向另一台机器发起RDP衔接,IP为203.12.*.*(简称为w1)。经过剖析w1的登录日志,我们发现攻击者会在此机器中停止少量的入侵预备和记载等操作,因而我们判别v1为攻击者运用的最初一层跳板。此效劳器归属于日本的VPS运营商vultr,vultr在国际的付款是经过领取宝,信誉卡等实名停止的。
我们持续剖析w1的日志,发现如下其他来源机器的信息:
s1、119.81.*.* 客户端称号:MS7
s2、203.12.*.* 客户端称号:WIN-3PLKM2PLE6E
s3、36.250.*.* 客户端称号:zhao**deMacBook
不知道从何时开始,个人信用渗透到生活的方方面面。图书、数码产品免押金借用,办理签证无需银行流水证明,甚至租车住酒店都不需要交付押金……推断名字为zhao**的人属于该黑产团伙的一员。
经过对s3的检测,发现它开放如下效劳:
这是一个测试下载效劳器的站点,截图中可以发现8***.com这个域名,经过搜索要挟情报,此域名是一个钓鱼欺诈域名。我们找到名字为wang**的人,他的邮箱为27473****@***.com。从邮箱相关信息判别,此人从事黑产的能够性较大。
下图为此域名历史解析过的IP地址,结合之前我们剖析的信息,可以判别出这个团伙所在地为福建的能够性比拟大。
结合上述线索,可以对团伙人员身份停止穿插定位。由于触及信息敏感,此处不再深化引见。
3. 僵尸网络探查
经过技术手腕,我们掌握了该团伙历史上一切控制的肉鸡IP列表,共有75万之多
此外,我们还取得了黑客的控制端顺序,其客户端配置界面如下:
上图是其木马生成器,可以配置DNS、C&C域名、配置文件地址等。可以看到,C&C地址以及版本号与以后被捕捉的样本相似。黑客可以在效劳器端批量管理一切以后活泼的肉鸡,并可查询其IP地址、版本、硬件架构、处置器、工夫戳、带宽等信息。
4. 样本剖析
样本运转后,首先经过readlink来获取以后样本的运转途径。样本内置了一个特定的解密算法,一切的加解密均采用该算法完成,算法逻辑如下:
char * encrypt_code(char * input, int length)
{
char * xorkeys = "BB2FA36AAA9541F0";
char * begin = input;
for(int i = 0; i < length; i++)
{
*input++ ^= xorkeys[i %16];
}
return begin;
}
经过上述解密算法,解密出样本的配相信息,及C&C效劳器上的配置文件途径。解密后失掉配置文件途径:http://pcdown.gd***.com:85/cfg.rar,该文件在剖析时已无法拜访。
之后经过fork子进程,调用setsid函数,切换到零碎根目录等方式,样本创立了一个守护进程。接上去判别运转时参数,假如传入参数个数为2,则删除本身,同时运转传入的第2个参数,猜想此处或为样本更新逻辑。
当运转时参数个数不为3时,在之前解密出的零碎途径下复制本身,可选途径有/usr/bin, /bin, /tmp, 并经过在样本尾部添加11个随机字符的方式,使本身的hash值每次都不同,用于对立反省hash值这一类的扫描。
样本本身还携带了一个rootkit模块,可以对文件、端口等停止隐藏,给平安人员的手工排查带来一定的困难。样本运转时会将该模块加载到零碎内核,一旦加载完成,就将该模块文件从磁盘删除。
下图代码是尝试将本身作为效劳写入到零碎启动目录下,使样本每次能随着零碎自启动。
接上去样本会解密出近程效劳器地址,之间用|符号停止分隔。其中unk_80B324C处解出的地址列表为: soft8.gd***.com:3802|113.10.*.*:3802|baidu.gd***.com:3802
之后,调用rootkit模块功用, 隐藏以后进程所分配的端口号。
样本最终创立了3个线程, 来辨别执行不同的义务。
Daemon_get_kill_process线程在一个循环中继续从效劳器端下载配置文件, 假如下载失败,就休眠1800秒,下载成功后,解密配置文件,然后将内容保管在kill_cfg变量中。
Kill_process线程在一个循环中继续监听效劳器端下发的配置文件kill_cfg能否曾经下载成功,一旦下载完成,会读取每一行的内容,依据内置的参数决议对某个特定的文件名及对应进程停止删除和终止。
Tcp_thread线程首先向c&c效劳器发送肉鸡的硬件及软件信息,包括设备类型、设备版本、一段32个字节的随机字符串组成的设备id、固定的字符串”STATIC”、以后bot的版本号2.0.1、 内存运用状况、cpu频率、以后网速,以及以后设备上的rootkit的装置状况等信息,这些信息在加密后被发送到效劳器端。
然后,依据效劳器的前往数据,首先计算crc值停止校验,经过后对命令停止解码,进入exec_packet控制流程。
控制流程目前包括了6个控制码,辨别为:
1. 中止攻击
2. 创立多个线程发起攻击
3. 下载文件并执行
4. 更新bot样本
5. 发送零碎信息到指定效劳器
6. 下载新的配置文件
5. 结语
本次事情由网关的一次突发流量异常惹起,成功发现了黑客运用的控制效劳器,最终掌握了一个数十万肉鸡规模的僵尸网络,经过及时停止追踪防护,无效防止了损失的发作。
金山云不断努力于构建平安波动的网络环境,面对歹意DDoS攻击,金山云经过为用户提供完好的平安处理方案,树立了全方位的进攻体系。在金山云已备案域名最高可装备1Tbps的DDoS防护,用户在遭遇大流量DDoS攻击的状况下,经过在配置后将攻击流量引至高防IP,确保源站波动可用。
诸如在面对易蒙受攻击的游戏行业,金山云高防处理方案针对游戏生命周期短、单薄点多等痛点,提供大容量DDoS清洗效劳,并经过开启多台云效劳器,对立CC攻击,为用户提供全方位的从物理到使用层面的防护。
目前,金山云高防正在开放收费试用活动,电信联通挪动三线BGP机房,3月份时期均可以请求试用,欢送随时与我们联络。
【关于金山云安珀实验室】
实验室专注于平安技术的研讨与探究,涉猎范畴包括僵尸网络的探求、病毒木马的剖析、破绽的应用与进攻技术、平安事情的跟踪剖析等。安珀实验室已深化多个盛行的僵尸网络家族,成功完成了多例溯源剖析,并与公安部门协作结合打击网络黑产,经过严密协同业界最新平安静态,将研讨效果发布出来与业界共享,为构建平安安康的网络环境而努力。
企业海
