從2017年中“永恒之藍(lán)”*席卷���,到2018年初的“英特爾CPU漏洞事件”大爆發(fā),近年來�����,隨著網(wǎng)絡(luò)技術(shù)水平的不斷提升���,以“云物移大智”等為代表的新興技術(shù)得到廣泛應(yīng)用�����,新產(chǎn)業(yè)新模式層出不窮�����,帶來了全新的商業(yè)化圖景�,但隨之而來的日益嚴(yán)重的信息安全問題,也讓人們對(duì)網(wǎng)絡(luò)安全愈發(fā)關(guān)注與重視���。
近日�����,金山云安珀實(shí)驗(yàn)室成功破獲一起利用大規(guī)模僵尸網(wǎng)絡(luò)進(jìn)行大流量DDoS攻擊的有組織活動(dòng)�����,經(jīng)深入調(diào)查后發(fā)現(xiàn)����,該組織掌握的肉雞zui多高達(dá)75萬臺(tái)��,通過層層加密隱匿攻擊源頭����,在幕后對(duì)企業(yè)���、機(jī)構(gòu)發(fā)動(dòng)針對(duì)性的大規(guī)模DDoS攻擊�,進(jìn)而謀取不正當(dāng)利益���。
安珀實(shí)驗(yàn)室監(jiān)控到網(wǎng)絡(luò)流量突發(fā)異常后���,*時(shí)間進(jìn)行分析排查����,確定異常流量來自某幾臺(tái)被控制的云主機(jī)�,正在在對(duì)外發(fā)起大流量的DDoS攻擊,深入調(diào)查后發(fā)現(xiàn)�,這些云主機(jī)屬于某僵尸網(wǎng)絡(luò)控制的肉雞,zui后順藤摸瓜��,成功追蹤到攻擊源����。下面詳細(xì)介紹分析過程。
1. 入侵分析
首先����,根據(jù)事發(fā)主機(jī)的流量特征,在金山云分布式蜜網(wǎng)平臺(tái)中找到了被植入同一木馬的系統(tǒng)���,然后提取了蜜罐中發(fā)起DDoS攻擊的木馬程序�,名稱為libudev.so�����。并通過流量監(jiān)控,獲得了該木馬連接的C&C控制端IP:203.12.*.*���。
隨后從該樣本中提取出三個(gè)C&C控制端服務(wù)器的域名:
baidu.gd***.com
pcdown.gd***.com
soft8.gd***.com
其中一個(gè)域名pcdown.gd***.com沒有解析記錄�,可以判斷是備用域名�����。另外兩個(gè)域名解析到某一臺(tái)香港服務(wù)器上��,IP正是前文提到的C&C控制端IP:203.12.*.*����。
通過搜索根域名gd***.com的威脅情報(bào)數(shù)據(jù),發(fā)現(xiàn)該根域名注冊(cè)于2015年���,域名擁有者對(duì)該域名的Whois信息進(jìn)行了隱匿���。通過對(duì)歷史數(shù)據(jù)的查詢,找到一個(gè)早期注冊(cè)該域名的:145612****@***.com
2. 身份溯源
通過技術(shù)手段��,拿到了C&C控制端機(jī)器(簡稱c1)的登入日志����,綜合分析后判定c1為入侵者本人使用,而不是肉雞���。從日志來源IP可以看到�,入侵者有一定反偵察意識(shí)�,利用了至少一層跳板主機(jī)企圖隱藏自己的真實(shí)IP,跳板主機(jī)IP為45.32.*.*(簡稱為v1)���,歸屬地為日本���。
同時(shí),我們發(fā)現(xiàn)這臺(tái)主機(jī)還會(huì)向另一臺(tái)機(jī)器發(fā)起RDP連接�,IP為203.12.*.*(簡稱為w1)。通過分析w1的登錄日志�,我們發(fā)現(xiàn)攻擊者會(huì)在此機(jī)器中進(jìn)行大量的入侵準(zhǔn)備和記錄等操作,因此我們判斷v1為攻擊者使用的zui后一層跳板��。此服務(wù)器歸屬于日本的VPS運(yùn)營商vultr���,vultr在國內(nèi)的付款是通過支付寶�,信用卡等實(shí)名進(jìn)行的。
我們繼續(xù)分析w1的日志����,發(fā)現(xiàn)如下其他來源機(jī)器的信息:
s1、119.81.*.* 客戶端名稱:MS7
s2���、203.12.*.* 客戶端名稱:WIN-3PLKM2PLE6E
s3�、36.250.*.* 客戶端名稱:zhao**deMacBook
推斷名字為zhao**的人屬于該黑產(chǎn)團(tuán)伙的一員�����。
通過對(duì)s3的檢測(cè)���,發(fā)現(xiàn)它開放如下服務(wù):
這是一個(gè)測(cè)試下載服務(wù)器的站點(diǎn)����,截圖中可以發(fā)現(xiàn)8***.com這個(gè)域名�����,通過搜索威脅情報(bào)�����,此域名是一個(gè)釣魚欺詐域名。我們找到名字為wang**的人�,他的為27473****@***.com。從相關(guān)信息判斷�,此人從事黑產(chǎn)的可能性較大�����。
下圖為此域名歷史解析過的IP地址���,結(jié)合之前我們分析的信息��,可以判斷出這個(gè)團(tuán)伙所在地為福建的可能性比較大��。
結(jié)合上述線索��,可以對(duì)團(tuán)伙人員身份進(jìn)行交叉定位�。由于涉及信息敏感��,此處不再深入介紹�。
3. 僵尸網(wǎng)絡(luò)探查
通過技術(shù)手段,我們掌握了該團(tuán)伙歷*所有控制的肉雞IP列表����,共有75萬之多
此外���,我們還獲得了黑客的控制端程序,其客戶端配置界面如下:
上圖是其木馬生成器�,可以配置DNS、C&C域名���、配置文件地址等��?�?梢钥吹?���,C&C地址以及版本號(hào)與當(dāng)前被捕獲的樣本類似����。黑客可以在服務(wù)器端批量管理所有當(dāng)前活躍的肉雞,并可查詢其IP地址�����、版本��、硬件架構(gòu)����、處理器����、時(shí)間戳�、帶寬等信息。
4. 樣本分析
樣本運(yùn)行后����,首先通過readlink來獲取當(dāng)前樣本的運(yùn)行路徑����。樣本內(nèi)置了一個(gè)特定的解密算法,所有的加解密均采用該算法完成����,算法邏輯如下:
char * encrypt_code(char * input, int length)
{
char * xorkeys = "BB2FA36AAA9541F0";
char * begin = input;
for(int i = 0; i < length; i++)
{
*input++ ^= xorkeys[i %16];
}
return begin;
}
通過上述解密算法,解密出樣本的配置信息�����,及C&C服務(wù)器上的配置文件路徑�����。解密后得到配置文件路徑:http://pcdown.gd***.com:85/cfg.rar,該文件在分析時(shí)已無法訪問�����。
之后通過fork子進(jìn)程�����,調(diào)用setsid函數(shù)��,切換到系統(tǒng)根目錄等方式�����,樣本創(chuàng)建了一個(gè)守護(hù)進(jìn)程���。接下來判斷運(yùn)行時(shí)參數(shù)��,如果傳入?yún)?shù)個(gè)數(shù)為2��,則刪除自身���,同時(shí)運(yùn)行傳入的第2個(gè)參數(shù),猜測(cè)此處或?yàn)闃颖靖逻壿嫛?br />
當(dāng)運(yùn)行時(shí)參數(shù)個(gè)數(shù)不為3時(shí)�,在之前解密出的系統(tǒng)路徑下復(fù)制自身�����,可選路徑有/usr/bin, /bin, /tmp, 并通過在樣本尾部添加11個(gè)隨機(jī)字符的方式��,使自身的hash值每次都不同�,用于對(duì)抗檢查hash值這一類的掃描�。
樣本自身還攜帶了一個(gè)rootkit模塊,能夠?qū)ξ募?、端口等進(jìn)行隱藏,給安全人員的手工排查帶來一定的困難��。樣本運(yùn)行時(shí)會(huì)將該模塊加載到系統(tǒng)內(nèi)核���,一旦加載完成,就將該模塊文件從磁盤刪除�。
下圖代碼是嘗試將自身作為服務(wù)寫入到系統(tǒng)啟動(dòng)目錄下,使樣本每次能隨著系統(tǒng)自啟動(dòng)�。
接下來樣本會(huì)解密出遠(yuǎn)程服務(wù)器地址,之間用|符號(hào)進(jìn)行分隔���。其中unk_80B324C處解出的地址列表為: soft8.gd***.com:3802|113.10.*.*:3802|baidu.gd***.com:3802
之后�,調(diào)用rootkit模塊功能��, 隱藏當(dāng)前進(jìn)程所分配的端口號(hào)。
樣本zui終創(chuàng)建了3個(gè)線程��, 來分別執(zhí)行不同的任務(wù)����。
14
Daemon_get_kill_process線程在一個(gè)循環(huán)中持續(xù)從服務(wù)器端下載配置文件, 如果下載失敗�����,就休眠1800秒����,下載成功后,解密配置文件�����,然后將內(nèi)容保存在kill_cfg變量中�����。
Kill_process線程在一個(gè)循環(huán)中持續(xù)監(jiān)聽服務(wù)器端下發(fā)的配置文件kill_cfg是否已經(jīng)下載成功�����,一旦下載完成,會(huì)讀取每一行的內(nèi)容�,根據(jù)內(nèi)置的參數(shù)決定對(duì)某個(gè)特定的文件名及對(duì)應(yīng)進(jìn)程進(jìn)行刪除和終止。
Tcp_thread線程首先向c&c服務(wù)器發(fā)送肉雞的硬件及軟件信息����,包括設(shè)備類型、設(shè)備版本����、一段32個(gè)字節(jié)的隨機(jī)字符串組成的設(shè)備id、固定的字符串”STATIC”��、當(dāng)前bot的版本號(hào)2.0.1�、 內(nèi)存使用情況、cpu頻率����、當(dāng)前網(wǎng)速��,以及當(dāng)前設(shè)備上的rootkit的安裝情況等信息�,這些信息在加密后被發(fā)送到服務(wù)器端。
然后�����,根據(jù)服務(wù)器的返回?cái)?shù)據(jù),首先計(jì)算crc值進(jìn)行校驗(yàn)�����,通過后對(duì)命令進(jìn)行解碼��,進(jìn)入exec_packet控制流程��。
控制流程目前包含了6個(gè)控制碼�,分別為:
1.停止攻擊
2.創(chuàng)建多個(gè)線程發(fā)起攻擊
3.下載文件并執(zhí)行
4.更新bot樣本
5.發(fā)送系統(tǒng)信息到服務(wù)器
6.下載新的配置文件
5. 結(jié)語
本次事件由網(wǎng)關(guān)的一次突發(fā)流量異常引起,成功發(fā)現(xiàn)了黑客使用的控制服務(wù)器���,zui終掌握了一個(gè)數(shù)十萬肉雞規(guī)模的僵尸網(wǎng)絡(luò)��,通過及時(shí)進(jìn)行追蹤防護(hù)�,有效避免了損失的發(fā)生��。
金山云一直致力于構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境�����,面對(duì)惡意DDoS攻擊����,金山云通過為用戶提供完整的安*方案�����,建立了的防御體系��。在金山云已備案域名zui高可配備1Tbps的DDoS防護(hù)�,用戶在遭遇大流量DDoS攻擊的情況下����,通過在配置后將攻擊流量引至高防IP,確保源站穩(wěn)定可用����。
諸如在面對(duì)易遭受攻擊的游戲行業(yè),金山云高防解決方案針對(duì)游戲生命周期短�����、薄弱點(diǎn)多等痛點(diǎn)��,提供大容量DDoS清洗服務(wù)���,并通過開啟多臺(tái)云服務(wù)器,對(duì)抗CC攻擊,為用戶提供的從物理到應(yīng)用層面的防護(hù)���。
目前��,金山云高防正在開放免費(fèi)試用活動(dòng)�����,電信聯(lián)通移動(dòng)三線BGP機(jī)房�,3月份期間均可以申請(qǐng)?jiān)囉?�,歡迎隨時(shí)與我們���。
【關(guān)于金山云安珀實(shí)驗(yàn)室】
實(shí)驗(yàn)室專注于安全技術(shù)的研究與探索��,涉獵領(lǐng)域包括僵尸網(wǎng)絡(luò)的探究���、病毒木馬的分析、漏洞的利用與防御技術(shù)���、安全事件的跟蹤分析等��。安珀實(shí)驗(yàn)室已深入多個(gè)流行的僵尸網(wǎng)絡(luò)家族�,成功完成了多例溯源分析,并與公安部門合作聯(lián)合打擊網(wǎng)絡(luò)黑產(chǎn)�����,通過緊密協(xié)同業(yè)界安全動(dòng)態(tài)�,將研究成果發(fā)布出來與業(yè)界共享,為構(gòu)建安全健康的網(wǎng)絡(luò)環(huán)境而努力��。
