黑吃黑：鬼影DDoS黑客追踪

0x00 概述

安天追影小组通过威胁态势感知系统发现了一个DDoS攻击控制事件。从一个控制事件开始进行了一次黑客追踪之旅。经过关联分析找到控制C2的样本，该样本是采用暴风内核的DDoS家族变种，运行后安装.net clr 的服务，释放hra33.dll，进行局域网弱口令的登录感染共享目录，接受黑客控制等待发起DDoS攻击。

通过黑客控制服务器域名，追踪发现小黑客“谭X“ ，其搭建的网站有销售DDoS攻击服务 。另外该样本中暗藏其它黑客的后门，利用云服务器对该木马进行控制。虽然没有进行hacking back，但是通过代码同源性关联发现了鬼影VIP版本控制端生成的服务端与本次发现的样本高度一致。进而发现了该样本的控制端为鬼影压力测试。

0x01 样本分析

威胁感知系统发现一起暴风控制事件:

时间：2015-11-18 14:43:35 ， 恶意代码名称: Trojan/Win32.StormDDoS.gen 源IP: *.113.14.90 源端口: 49436 目的IP: *.*.56.8 目的端口: 8080

经过关联发现了一些相关的样本，其中有一个的MD5为 8B23922AE8FAA55FCED2EB9F1A9903B6。

运行后安装服务名为.net clr 的服务，然后退出进程。该服务的派遣例程主要是释放hra33.dll并且以资源更新的方式替换注册表下.net clr服务对应的镜像文件。随后创建3个线程。

获取用户本地主机IP地址和端口，并进行弱口令的登录测试以尝试入侵到本地主机服务器上。若入侵成功，则在服务器上创建病毒进程gfld.exe （线程1）其中进行弱口令猜解的登录名及密码以感染整个网段。样本首先获取本机ip地址，假设为192.168.0.11，后调用api WNetAddConnection2A尝试对整个网段（192.168.0.1~192.168.0.254）进行弱密码猜解连接,若成功，则调用copyfileA将自身复制到该主机上.远程执行该程序。

获取用户的电脑的操作系统的版本信息、CPU处理的频率和数目信息、系统的内存信息、使用的网络流量的信息以及用户电脑从启动到现在的上线时间，将用户的这些信息发送给病毒作者。

向网址.xyz发起连接，接受病毒作者命令控制。.xyz网址是硬编码到服务端代码中的，而暴风DDoS控制端生成的服务端的网络信息配置是加密保存的。因此硬编码明文这个网址是一个黑吃黑的后门。

图 硬编码C2域名

图 加密配置域名信息

样本8B23922AE8FAA55FCED2EB9F1A9903B6网络链接信息如下：

关联样本2网络信息如下：

0x02 黑客追踪

小黑1

通过安全事件的IP *.*.56.8找到关联的历史域名，域名关联出邮箱和QQ，在其空间里面的描述可以确认这个“xiaoqi“也有宣传DDoS服务，包括“D单打死付款”，另外还做针对韩国的木马免杀任务。Xiaoqi这个名字是其姓名最后一个字“琪”的拼音，人称“小琪”。

可以得到该黑客的一个整体信息：

小黑2

样本涉及多个域名，有两个有隐私保护。Hacker22.com关联了QQ邮箱，该邮箱还申请了多个域名，除了hacker外，还有 ddos等计算机威胁敏感词汇并且可以注意到注册人的信息，Tan qing。其中一个域名：*ddos.com为该黑客用来售卖服务器攻击的主页。

图 关联追踪

黑吃黑

在黑客谭x使用的多个样本中发现的后门至少有两个，一个是以.xyz域名采用云服务器，另一个是txddos.com,虽然隐私保护了。但由于其使用多个域名绑定一个IP，导致其信息被追踪到。号称“龙哥“的幕后。

0x03 开发者追踪

攻击者追踪主要利用域名进行关联，特别是非免费域名，而开发者追踪则需要代码同源性的关联，该样本的代码与暴风DDoS代码很相似，但是还是有很多变化，通过二进制数据特征关联发现与鬼影VIP的服务端图标是一致的，整个程序文件也是高度相似。鬼影防火墙压力测试正是采用了暴风DDoS的代码开发而成。

图 图标一致查看

图 控制端

0x04 总结

在DDoS这种黑产中小黑客泛滥，技术水平不高，黑吃黑常有发生，攻击者的控制服务器也从虚拟机主机运营商向云计算服务商转移，云计算服务商应该在保护自身防御DDoS攻击的同时也应该担负其发现并阻止利用云服务器进行黑客DDoS控制的网络犯罪的活动。受到DDoS攻击的企业则通可通过威胁情报平台及时获取威胁信息，对DDoS攻击除了进行防御还可以进行追踪还击。

* 作者：安天追影（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）