黑吃黑:鬼影DDoS黑客追踪

0x00 概述

安天追影小组通过威胁态势感知系统发现了一个DDoS攻击控制事件。从一个控制事件开始进行了一次黑客追踪之旅。经过关联分析找到控制C2的样本,该样本是采用暴风内核的DDoS家族变种,运行后安装.net clr 的服务,释放hra33.dll,进行局域网弱口令的登录感染共享目录,接受黑客控制等待发起DDoS攻击。

通过黑客控制服务器域名,追踪发现小黑客“谭X“ ,其搭建的网站有销售DDoS攻击服务 。另外该样本中暗藏其它黑客的后门,利用云服务器对该木马进行控制。虽然没有进行hacking back,但是通过代码同源性关联发现了鬼影VIP版本控制端生成的服务端与本次发现的样本高度一致。进而发现了该样本的控制端为鬼影压力测试。

0x01 样本分析

威胁感知系统发现一起暴风控制事件:

时间:2015-11-18 14:43:35 , 恶意代码名称: Trojan/Win32.StormDDoS.gen 源IP: *.113.14.90 源端口: 49436 目的IP: *.*.56.8 目的端口: 8080

经过关联发现了一些相关的样本,其中有一个的MD5为 8B23922AE8FAA55FCED2EB9F1A9903B6。

运行后安装服务名为.net clr 的服务,然后退出进程。该服务的派遣例程主要是释放hra33.dll并且以资源更新的方式替换注册表下.net clr服务对应的镜像文件。随后创建3个线程。

获取用户本地主机IP地址和端口,并进行弱口令的登录测试以尝试入侵到本地主机服务器上。若入侵成功,则在服务器上创建病毒进程gfld.exe (线程1)其中进行弱口令猜解的登录名及密码以感染整个网段。样本首先获取本机ip地址,假设为192.168.0.11,后调用api WNetAddConnection2A尝试对整个网段(192.168.0.1~192.168.0.254)进行弱密码猜解连接,若成功,则调用copyfileA将自身复制到该主机上.远程执行该程序。

获取用户的电脑的操作系统的版本信息、CPU处理的频率和数目信息、系统的内存信息、使用的网络流量的信息以及用户电脑从启动到现在的上线时间,将用户的这些信息发送给病毒作者。

向网址.xyz发起连接,接受病毒作者命令控制。.xyz网址是硬编码到服务端代码中的,而暴风DDoS控制端生成的服务端的网络信息配置是加密保存的。因此硬编码明文这个网址是一个黑吃黑的后门。

图 硬编码C2域名

图 加密配置域名信息

样本8B23922AE8FAA55FCED2EB9F1A9903B6网络链接信息如下:

域名

IP

最后活跃时间

操作系统

控制端口

样本位置

hacker22.com

代码push

2c3tn3a.ssdqp.xyz

阿里云*50.4

2015.12

Windows

8080、2015

代码硬编码

*.*.56.8

2015.11

8080

加密配置

关联样本2网络信息如下:

域名

IP

最后活跃时间

操作系统

控制端口

样本位置

hacker22.com

代码push

aiqing.txddos.com

*.*.118.124

2015.12

Windows

8880、8888 、2003

代码硬编码

98syn.com

*.*.202.92

2015.11

Windows

8080、10771、9851

加密配置

0x02 黑客追踪

小黑1

通过安全事件的IP *.*.56.8找到关联的历史域名,域名关联出邮箱和QQ,在其空间里面的描述可以确认这个“xiaoqi“也有宣传DDoS服务,包括“D单打死付款”,另外还做针对韩国的木马免杀任务。Xiaoqi这个名字是其姓名最后一个字“琪”的拼音,人称“小琪”。

可以得到该黑客的一个整体信息:

小黑2

样本涉及多个域名,有两个有隐私保护。Hacker22.com关联了QQ邮箱,该邮箱还申请了多个域名,除了hacker外,还有 ddos等计算机威胁敏感词汇并且可以注意到注册人的信息,Tan qing。其中一个域名:*ddos.com为该黑客用来售卖服务器攻击的主页。

图 关联追踪

黑吃黑

在黑客谭x使用的多个样本中发现的后门至少有两个,一个是以.xyz域名采用云服务器,另一个是txddos.com,虽然隐私保护了。但由于其使用多个域名绑定一个IP,导致其信息被追踪到。号称“龙哥“的幕后。

0x03 开发者追踪

攻击者追踪主要利用域名进行关联,特别是非免费域名,而开发者追踪则需要代码同源性的关联,该样本的代码与暴风DDoS代码很相似,但是还是有很多变化,通过二进制数据特征关联发现与鬼影VIP的服务端图标是一致的,整个程序文件也是高度相似。鬼影防火墙压力测试正是采用了暴风DDoS的代码开发而成。

图 图标一致查看

图 控制端

0x04 总结

在DDoS这种黑产中小黑客泛滥,技术水平不高,黑吃黑常有发生,攻击者的控制服务器也从虚拟机主机运营商向云计算服务商转移,云计算服务商应该在保护自身防御DDoS攻击的同时也应该担负其发现并阻止利用云服务器进行黑客DDoS控制的网络犯罪的活动。受到DDoS攻击的企业则通可通过威胁情报平台及时获取威胁信息,对DDoS攻击除了进行防御还可以进行追踪还击。

* 作者:安天追影(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-12-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯云安全的专栏

刚需 |Wannacry 勒索蠕虫病毒用户修复指引

1935
来自专栏玄魂工作室

【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性

原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-tech...

2756
来自专栏黑白安全

黑客通过远程桌面服务安装新型 Matrix 勒索软件变体

MalwareHunterTeam 本周发现了两个新的 Matrix Ransomware 变体,这些变体正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变...

1053
来自专栏FreeBuf

揭秘银行木马Chthonic:网银大盗ZeuS的最新变种

说到Zeus/Zbot,做安全多多少少都会有所了解。Zeus是对金融系统威胁最大的僵尸网络之一,控制者借助僵尸程序窃取账户登录信息和信用卡号码。Zbot往往通过...

1757
来自专栏FreeBuf

攻击中东欧的间谍工具集

图1 在过去的一年里,ESET检测并分析了若干有针对性的进行间谍活动的恶意软件,被称作SBDH工具集。它使用了强大的过滤器,多种通信方式以及非常有意思的驻留技术...

21810
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-7 FF6B归档凭证记录

4.2 FF6B归档凭证记录 使用该事务管理现金状态和流动预测的计划凭证记录。系统在清单中显示这些凭证记录。还可以选择单个记录进行显示和修改。 在该清单中,可选...

2545
来自专栏FreeBuf

详细分析使用Certutil解码的Office恶意软件

最近发现使用certutil进行解码的office恶意软件,这种恶意软件通过OLE机制落地通过BASE64编码的恶意软件,然后通过调用certutil来进行解码...

2714
来自专栏FreeBuf

GitHub现VMware虚拟机逃逸Exploit,利用三月曝光的CVE-2017-4901漏洞

今年的Pwn2Own大赛后,VMware近期针对其ESXi、Wordstation和Fusion部分产品发布更新,修复在黑客大赛中揭露的一些高危漏洞。事实上在大...

3617
来自专栏用户2442861的专栏

支付宝即时到帐接口的python实现,示例采用django框架

http://blog.csdn.net/hornbills/article/details/40338949

2971
来自专栏FreeBuf

暗云Ⅲ BootKit 木马分析

概况 “暗云”系列木马自2015年初被腾讯反病毒实验室首次捕获并查杀,至今已有2年多。在这两年多时间里,该木马不断更新迭代,持续对抗升级。 从今年4月开始,该木...

5627

扫码关注云+社区