黑吃黑:鬼影DDoS黑客追踪

0x00 概述

安天追影小组通过威胁态势感知系统发现了一个DDoS攻击控制事件。从一个控制事件开始进行了一次黑客追踪之旅。经过关联分析找到控制C2的样本,该样本是采用暴风内核的DDoS家族变种,运行后安装.net clr 的服务,释放hra33.dll,进行局域网弱口令的登录感染共享目录,接受黑客控制等待发起DDoS攻击。

通过黑客控制服务器域名,追踪发现小黑客“谭X“ ,其搭建的网站有销售DDoS攻击服务 。另外该样本中暗藏其它黑客的后门,利用云服务器对该木马进行控制。虽然没有进行hacking back,但是通过代码同源性关联发现了鬼影VIP版本控制端生成的服务端与本次发现的样本高度一致。进而发现了该样本的控制端为鬼影压力测试。

0x01 样本分析

威胁感知系统发现一起暴风控制事件:

时间:2015-11-18 14:43:35 , 恶意代码名称: Trojan/Win32.StormDDoS.gen 源IP: *.113.14.90 源端口: 49436 目的IP: *.*.56.8 目的端口: 8080

经过关联发现了一些相关的样本,其中有一个的MD5为 8B23922AE8FAA55FCED2EB9F1A9903B6。

运行后安装服务名为.net clr 的服务,然后退出进程。该服务的派遣例程主要是释放hra33.dll并且以资源更新的方式替换注册表下.net clr服务对应的镜像文件。随后创建3个线程。

获取用户本地主机IP地址和端口,并进行弱口令的登录测试以尝试入侵到本地主机服务器上。若入侵成功,则在服务器上创建病毒进程gfld.exe (线程1)其中进行弱口令猜解的登录名及密码以感染整个网段。样本首先获取本机ip地址,假设为192.168.0.11,后调用api WNetAddConnection2A尝试对整个网段(192.168.0.1~192.168.0.254)进行弱密码猜解连接,若成功,则调用copyfileA将自身复制到该主机上.远程执行该程序。

获取用户的电脑的操作系统的版本信息、CPU处理的频率和数目信息、系统的内存信息、使用的网络流量的信息以及用户电脑从启动到现在的上线时间,将用户的这些信息发送给病毒作者。

向网址.xyz发起连接,接受病毒作者命令控制。.xyz网址是硬编码到服务端代码中的,而暴风DDoS控制端生成的服务端的网络信息配置是加密保存的。因此硬编码明文这个网址是一个黑吃黑的后门。

图 硬编码C2域名

图 加密配置域名信息

样本8B23922AE8FAA55FCED2EB9F1A9903B6网络链接信息如下:

域名

IP

最后活跃时间

操作系统

控制端口

样本位置

hacker22.com

代码push

2c3tn3a.ssdqp.xyz

阿里云*50.4

2015.12

Windows

8080、2015

代码硬编码

*.*.56.8

2015.11

8080

加密配置

关联样本2网络信息如下:

域名

IP

最后活跃时间

操作系统

控制端口

样本位置

hacker22.com

代码push

aiqing.txddos.com

*.*.118.124

2015.12

Windows

8880、8888 、2003

代码硬编码

98syn.com

*.*.202.92

2015.11

Windows

8080、10771、9851

加密配置

0x02 黑客追踪

小黑1

通过安全事件的IP *.*.56.8找到关联的历史域名,域名关联出邮箱和QQ,在其空间里面的描述可以确认这个“xiaoqi“也有宣传DDoS服务,包括“D单打死付款”,另外还做针对韩国的木马免杀任务。Xiaoqi这个名字是其姓名最后一个字“琪”的拼音,人称“小琪”。

可以得到该黑客的一个整体信息:

小黑2

样本涉及多个域名,有两个有隐私保护。Hacker22.com关联了QQ邮箱,该邮箱还申请了多个域名,除了hacker外,还有 ddos等计算机威胁敏感词汇并且可以注意到注册人的信息,Tan qing。其中一个域名:*ddos.com为该黑客用来售卖服务器攻击的主页。

图 关联追踪

黑吃黑

在黑客谭x使用的多个样本中发现的后门至少有两个,一个是以.xyz域名采用云服务器,另一个是txddos.com,虽然隐私保护了。但由于其使用多个域名绑定一个IP,导致其信息被追踪到。号称“龙哥“的幕后。

0x03 开发者追踪

攻击者追踪主要利用域名进行关联,特别是非免费域名,而开发者追踪则需要代码同源性的关联,该样本的代码与暴风DDoS代码很相似,但是还是有很多变化,通过二进制数据特征关联发现与鬼影VIP的服务端图标是一致的,整个程序文件也是高度相似。鬼影防火墙压力测试正是采用了暴风DDoS的代码开发而成。

图 图标一致查看

图 控制端

0x04 总结

在DDoS这种黑产中小黑客泛滥,技术水平不高,黑吃黑常有发生,攻击者的控制服务器也从虚拟机主机运营商向云计算服务商转移,云计算服务商应该在保护自身防御DDoS攻击的同时也应该担负其发现并阻止利用云服务器进行黑客DDoS控制的网络犯罪的活动。受到DDoS攻击的企业则通可通过威胁情报平台及时获取威胁信息,对DDoS攻击除了进行防御还可以进行追踪还击。

* 作者:安天追影(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-12-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

西方红玫瑰和辣条先生黑产组织深度分析报告

1. 报告摘要 近期,神州网云依靠高级威胁检测引擎并结合天际友盟的威胁情报,精确发现了多起高级威胁组织的攻击,通过快速有效的一键溯源确定了攻击行为及影响。 St...

3515
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–自建资产(资本投资订单)(164)-6 KO04维护最终结算的结算规则

4.8 KO04维护最终结算的结算规则 在本步骤中,将维护最终结算的结算规则。投资订单的状态将被设置为“技术性结账”。这一状态将允许订单的最终结算。 必须成功...

4036
来自专栏FreeBuf

揭秘银行木马Chthonic:网银大盗ZeuS的最新变种

说到Zeus/Zbot,做安全多多少少都会有所了解。Zeus是对金融系统威胁最大的僵尸网络之一,控制者借助僵尸程序窃取账户登录信息和信用卡号码。Zbot往往通过...

1877
来自专栏desperate633

Python爬虫之robots协议案例

意思就是 对于所有的user-agent: 不可以访问一下url Disallow: /?* Disallow: /pop/.html Disallo...

1002
来自专栏学海无涯

iOS开发之提取App的UI素材

在学习当中,有时候看到非常好的App,手痒的同学可能都想"临摹"一番,但是往往由于无法获取App的UI素材以致"功败垂成",今天就介绍一下如何快速提取App中的...

3519
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-7 FF6B归档凭证记录

4.2 FF6B归档凭证记录 使用该事务管理现金状态和流动预测的计划凭证记录。系统在清单中显示这些凭证记录。还可以选择单个记录进行显示和修改。 在该清单中,可选...

2695
来自专栏FreeBuf

攻击中东欧的间谍工具集

图1 在过去的一年里,ESET检测并分析了若干有针对性的进行间谍活动的恶意软件,被称作SBDH工具集。它使用了强大的过滤器,多种通信方式以及非常有意思的驻留技术...

22810
来自专栏玄魂工作室

【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性

原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-tech...

2846
来自专栏晓晨的专栏

ASP.NET Core 2.0 支付宝当面付之扫码支付

2102
来自专栏安恒信息

以银行为目标的Office 0day漏洞利用木马分析

步骤分析 近日,国外安全厂商McAfee和FireEye发现了一个针对银行的木马,该木马利用了一个Office零日漏洞发起攻击,危害性非常高,经过安恒研究院分析...

3497

扫码关注云+社区

领取腾讯云代金券