黑基网 首页 IT教程 安全攻防 查看内容

鬼影DDoS黑客追踪

2015-12-20 01:07| 投稿: lofor

摘要: 0×00 概述安天追影小组通过威胁态势感知系统发现了一个DDoS攻击控制事件。从一个控制事件开始进行了一次黑客追踪之旅。经过关联分析找到控制C2的样本,该样本是采用暴风内核的DDoS家族变种,运行后安装.net clr 的 ...

0×00 概述

安天追影小组通过威胁态势感知系统发现了一个DDoS攻击控制事件。从一个控制事件开始进行了一次黑客追踪之旅。经过关联分析找到控制C2的样本,该样本是采用暴风内核的DDoS家族变种,运行后安装.net clr 的服务,释放hra33.dll,进行局域网弱口令的登录感染共享目录,接受黑客控制等待发起DDoS攻击。

通过黑客控制服务器域名,追踪发现小黑客“谭X“ ,其搭建的网站有销售DDoS攻击服务 。另外该样本中暗藏其它黑客的后门,利用云服务器对该木马进行控制。虽然没有进行hacking back,但是通过代码同源性关联发现了鬼影VIP版本控制端生成的服务端与本次发现的样本高度一致。进而发现了该样本的控制端为鬼影压力测试。

0×01 样本分析

威胁感知系统发现一起暴风控制事件:

时间:2015-11-18 14:43:35 ,
恶意代码名称: Trojan/Win32.StormDDoS.gen 
源IP: *.113.14.90  源端口: 49436  
目的IP: *.*.56.8  目的端口: 8080

经过关联发现了一些相关的样本,其中有一个的MD5为 8B23922AE8FAA55FCED2EB9F1A9903B6

运行后安装服务名为.net clr 的服务,然后退出进程。该服务的派遣例程主要是释放hra33.dll并且以资源更新的方式替换注册表下.net clr服务对应的镜像文件。随后创建3个线程。

获取用户本地主机IP地址和端口,并进行弱口令的登录测试以尝试入侵到本地主机服务器上。若入侵成功,则在服务器上创建病毒进程gfld.exe (线程1)其中进行弱口令猜解的登录名及密码以感染整个网段。样本首先获取本机ip地址,假设为192.168.0.11,后调用api WNetAddConnection2A尝试对整个网段(192.168.0.1~192.168.0.254)进行弱密码猜解连接,若成功,则调用copyfileA将自身复制到该主机上.远程执行该程序。

获取用户的电脑的操作系统的版本信息、CPU处理的频率和数目信息、系统的内存信息、使用的网络流量的信息以及用户电脑从启动到现在的上线时间,将用户的这些信息发送给病毒作者。

向网址.xyz发起连接,接受病毒作者命令控制。.xyz网址是硬编码到服务端代码中的,而暴风DDoS控制端生成的服务端的网络信息配置是加密保存的。因此硬编码明文这个网址是一个黑吃黑的后门。

图 硬编码C2域名

图 加密配置域名信息

样本8B23922AE8FAA55FCED2EB9F1A9903B6网络链接信息如下:

最后活跃时间操作系统控制端口样本位置
hacker22.com代码push
2c3tn3a.ssdqp.xyz阿里云*50.42015.12Windows8080、2015代码硬编码
*.*.56.82015.118080加密配置

关联样本2网络信息如下:

最后活跃时间操作系统控制端口样本位置
hacker22.com代码push
aiqing.txddos.com*.*.118.1242015.12Windows8880、8888 、2003代码硬编码
98syn.com*.*.202.922015.11Windows8080、10771、9851加密配置

0×02 黑客追踪

小黑1

通过安全事件的IP *.*.56.8找到关联的历史域名,域名关联出邮箱和QQ,在其空间里面的描述可以确认这个“xiaoqi“也有宣传DDoS服务,包括“D单打死付款”,另外还做针对韩国的木马免杀任务。Xiaoqi这个名字是其姓名最后一个字“琪“的拼音,人称”小琪“

可以得到该黑客的一个整体信息

小黑2

样本涉及多个域名,有两个有隐私保护。Hacker22.com关联了QQ邮箱,该邮箱还申请了多个域名,除了hacker外,还有 ddos等计算机威胁敏感词汇并且可以注意到注册人的信息,Tan qing。其中一个域名:*ddos.com为该黑客用来售卖服务器攻击的主页。

图 关联追踪

黑吃黑

在黑客谭x使用的多个样本中发现的后门至少有两个,一个是以.xyz域名采用云服务器,另一个是txddos.com,虽然隐私保护了。但由于其使用多个域名绑定一个IP,导致其信息被追踪到。号称“龙哥“的幕后。

0×03 开发者追踪

攻击者追踪主要利用域名进行关联,特别是非免费域名,而开发者追踪则需要代码同源性的关联,该样本的代码与暴风DDoS代码很相似,但是还是有很多变化,通过二进制数据特征关联发现与鬼影VIP的服务端图标是一致的,整个程序文件也是高度相似。鬼影防火墙压力测试正是采用了暴风DDoS的代码开发而成。

图 图标一致查看

图 控制端

0×04 总结

在DDoS这种黑产中小黑客泛滥,技术水平不高,黑吃黑常有发生,攻击者的控制服务器也从虚拟机主机运营商向云计算服务商转移,云计算服务商应该在保护自身防御DDoS攻击的同时也应该担负其发现并阻止利用云服务器进行黑客DDoS控制的网络犯罪的活动。受到DDoS攻击的企业则通可通过威胁情报平台及时获取威胁信息,对DDoS攻击除了进行防御还可以进行追踪还击。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过
1

鸡蛋

刚表态过的朋友 (1 人)

  • 鸡蛋

    匿名

相关阅读

发表评论

最新评论

引用 游客 2018-2-8 05:07
This article conveys some ** tips and tricks that may be of use to work from home business owners, whether or not they are just starting out. Cosmetic dentistry requires skills so you should make sure that the surgeon has completed many successful surgeries. [url=http://www.cheapoutletjerseys.us.com/]Wholesale Jerseys Cheap[/url].Education might well be the best way to guarantee home business enterprise success. Saffron offers a myriad of health benefits.Some of the Best Coloration Contacts  ...
引用 游客 2018-2-2 04:04
5. David Rivera even gave Perez a congressional certificate for "outstanding and invaluable service to the community," reports Miami New Times, the duo posing in Washington, D. Scott has asked for roughly $300 million in incentives, an increase from the previous budget of $110 million, just as the group faced withering questions from lawmakers about whether or not it can justify its own existence.Since most gases are highly compressed and or flammable, they are extremely sensitive to physica ...

查看全部评论(2)


新出炉

返回顶部