专栏首页FreeBuf黑吃黑:鬼影DDoS黑客追踪

黑吃黑:鬼影DDoS黑客追踪

0x00 概述

安天追影小组通过威胁态势感知系统发现了一个DDoS攻击控制事件。从一个控制事件开始进行了一次黑客追踪之旅。经过关联分析找到控制C2的样本,该样本是采用暴风内核的DDoS家族变种,运行后安装.net clr 的服务,释放hra33.dll,进行局域网弱口令的登录感染共享目录,接受黑客控制等待发起DDoS攻击。

通过黑客控制服务器域名,追踪发现小黑客“谭X“ ,其搭建的网站有销售DDoS攻击服务 。另外该样本中暗藏其它黑客的后门,利用云服务器对该木马进行控制。虽然没有进行hacking back,但是通过代码同源性关联发现了鬼影VIP版本控制端生成的服务端与本次发现的样本高度一致。进而发现了该样本的控制端为鬼影压力测试。

0x01 样本分析

威胁感知系统发现一起暴风控制事件:

时间:2015-11-18 14:43:35 , 恶意代码名称: Trojan/Win32.StormDDoS.gen 源IP: *.113.14.90 源端口: 49436 目的IP: *.*.56.8 目的端口: 8080

经过关联发现了一些相关的样本,其中有一个的MD5为 8B23922AE8FAA55FCED2EB9F1A9903B6。

运行后安装服务名为.net clr 的服务,然后退出进程。该服务的派遣例程主要是释放hra33.dll并且以资源更新的方式替换注册表下.net clr服务对应的镜像文件。随后创建3个线程。

获取用户本地主机IP地址和端口,并进行弱口令的登录测试以尝试入侵到本地主机服务器上。若入侵成功,则在服务器上创建病毒进程gfld.exe (线程1)其中进行弱口令猜解的登录名及密码以感染整个网段。样本首先获取本机ip地址,假设为192.168.0.11,后调用api WNetAddConnection2A尝试对整个网段(192.168.0.1~192.168.0.254)进行弱密码猜解连接,若成功,则调用copyfileA将自身复制到该主机上.远程执行该程序。

获取用户的电脑的操作系统的版本信息、CPU处理的频率和数目信息、系统的内存信息、使用的网络流量的信息以及用户电脑从启动到现在的上线时间,将用户的这些信息发送给病毒作者。

向网址.xyz发起连接,接受病毒作者命令控制。.xyz网址是硬编码到服务端代码中的,而暴风DDoS控制端生成的服务端的网络信息配置是加密保存的。因此硬编码明文这个网址是一个黑吃黑的后门。

图 硬编码C2域名

图 加密配置域名信息

样本8B23922AE8FAA55FCED2EB9F1A9903B6网络链接信息如下:

域名

IP

最后活跃时间

操作系统

控制端口

样本位置

hacker22.com

代码push

2c3tn3a.ssdqp.xyz

阿里云*50.4

2015.12

Windows

8080、2015

代码硬编码

*.*.56.8

2015.11

8080

加密配置

关联样本2网络信息如下:

域名

IP

最后活跃时间

操作系统

控制端口

样本位置

hacker22.com

代码push

aiqing.txddos.com

*.*.118.124

2015.12

Windows

8880、8888 、2003

代码硬编码

98syn.com

*.*.202.92

2015.11

Windows

8080、10771、9851

加密配置

0x02 黑客追踪

小黑1

通过安全事件的IP *.*.56.8找到关联的历史域名,域名关联出邮箱和QQ,在其空间里面的描述可以确认这个“xiaoqi“也有宣传DDoS服务,包括“D单打死付款”,另外还做针对韩国的木马免杀任务。Xiaoqi这个名字是其姓名最后一个字“琪”的拼音,人称“小琪”。

可以得到该黑客的一个整体信息:

小黑2

样本涉及多个域名,有两个有隐私保护。Hacker22.com关联了QQ邮箱,该邮箱还申请了多个域名,除了hacker外,还有 ddos等计算机威胁敏感词汇并且可以注意到注册人的信息,Tan qing。其中一个域名:*ddos.com为该黑客用来售卖服务器攻击的主页。

图 关联追踪

黑吃黑

在黑客谭x使用的多个样本中发现的后门至少有两个,一个是以.xyz域名采用云服务器,另一个是txddos.com,虽然隐私保护了。但由于其使用多个域名绑定一个IP,导致其信息被追踪到。号称“龙哥“的幕后。

0x03 开发者追踪

攻击者追踪主要利用域名进行关联,特别是非免费域名,而开发者追踪则需要代码同源性的关联,该样本的代码与暴风DDoS代码很相似,但是还是有很多变化,通过二进制数据特征关联发现与鬼影VIP的服务端图标是一致的,整个程序文件也是高度相似。鬼影防火墙压力测试正是采用了暴风DDoS的代码开发而成。

图 图标一致查看

图 控制端

0x04 总结

在DDoS这种黑产中小黑客泛滥,技术水平不高,黑吃黑常有发生,攻击者的控制服务器也从虚拟机主机运营商向云计算服务商转移,云计算服务商应该在保护自身防御DDoS攻击的同时也应该担负其发现并阻止利用云服务器进行黑客DDoS控制的网络犯罪的活动。受到DDoS攻击的企业则通可通过威胁情报平台及时获取威胁信息,对DDoS攻击除了进行防御还可以进行追踪还击。

* 作者:安天追影(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf),作者:安天追影

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-12-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Gitee遭受DDoS攻击,官方建议不要在hosts里绑定IP地址

    3月2日,国内代码托管平台Gitee发布消息称,近期遭受疯狂的DDoS攻击。由于部署了高防产品,具备一定的防御DDoS攻击能力,对于大多数用户并没有收到影响。

    FB客服
  • Cookie算法与Rootkey随机强度分析

    本篇为《DEDECMS伪随机漏洞 (一) :PHP下随机函数的研究》的续篇,研究DEDECMS的cookie生成的算法, 以及rootkey生成的算法, 确认r...

    FB客服
  • 没想到你是这样的Linux | 终端下有趣的命令合集

    前言 刚开始接触Linux的我们,肯定认为Linux系统就是那种枯燥的终端界面。然而实际上Linux下的终端还是有很多种有趣的玩法~~ toilet 简介 to...

    FB客服
  • R使用LASSO回归预测股票收益

    只要有金融经济学家,金融经济学家一直在寻找能够预测股票收益的变量。对于最近的一些例子,想想Jegadeesh和Titman(1993),它表明股票的当前收益是由...

    用户5031023
  • [技巧]腾讯云服务器绑定多个IP(无需任何费用)

    这里为什么要分配内网IP呢,因为你在服务器里虽然可以手动配置成任何IP,但是绑定公网IP还是要在控制台操作的,所以需要事先分配好内网IP

    繁花云
  • 人工智能导论 (二) - Methodologies of Knowledge Representation 知识表示方法

    ![](https://upload-images.jianshu.io/upload_images/4685968-478a076781ace9ce.png?...

    JavaEdge
  • 5个数据告诉你亚马逊云存储有多大

    大数据文摘
  • iphone x LaunchImage 适配

    程序员不务正业
  • 如何在云计算平台使用R语言编程的快速入门指南

    大数据文摘
  • AR技术又被巨头看中了,亚马逊计划要开AR家具实体店

    镁客网

扫码关注云+社区

领取腾讯云代金券