首页 > 安全 > 网络安全 >

Nitol家族韩国ddos僵尸网络变种研究及其威胁报告

2017-09-19

Nitol家族韩国ddos僵尸网络变种研究及其威胁报告。对Trojan[DDoS] Win32 Nitol C(下简称:Nitol C)有所懂得的反病毒研究人员或者都晓得,Nitol开始是由鬼影工作室开辟并经由过程某渠道将源码对外公开,以致网络上呈现多种分歧协定的Trojan[DDoS] Win32 Nitol(下简称:Nitol)

1. 先容

对Trojan[DDoS]/Win32.Nitol.C(下简称:Nitol.C)有所懂得的反病毒研究人员或者都晓得,Nitol开始是由鬼影工作室开辟并经由过程某渠道将源码对外公开,以致网络上呈现多种分歧协定的Trojan[DDoS]/Win32.Nitol(下简称:Nitol)版本,以是海内又称“鬼影DDoS”。Nitol 家属是今朝活泼在Windows环境下的重要botnet之一。

大多数Nitol家属的衍生版本都有一个比拟明显的特色是应用了lpk.dll挟制,经由过程lpk.dll挟制完成将样本在受益装备上停止多磁盘横向备份沾染,达到了历久埋伏于受益体系并长途把持入侵攻击的目标。Nitol“散乱”江湖多年,成长至今曾经有8+分歧协定的衍生版本,且据监控到的威逼谍报表现,这些Nitol家属构成的botnet天天都会对互联网上的某个目标提议入侵攻击,重大威逼互联网的网安!这里重要讲的是Nitol家属的Nitol.C衍生版本(见图1-1 天生器界面),一个Nitol家属衍生版本的韩国僵尸网络及其威逼谍报。

\

图1-1 天生器界面

2. 根本信息

表1-1 样本根本信息

病毒称号

Trojan[DDoS]/Win32.Nitol.C

样本MD5

a48478dd55d8b099409bb829fb2b282f

样本巨细

59KB

样本格局

Exe

3. 流传方法

从今朝监控到的威逼谍报看,Nitol.C的流传和沾染方法重要有两个:

1、经由过程自动化批量IP网段破绽漏洞bug应用,植入被控端木马。2017年上半年黑产最为流行的Windows自动化应用对象是”永久之蓝”和st2,此中Nitol.C也存在应用这类自动化“抓鸡”方法停止安排botnet。

2、经由过程已有的botnet停止穿插沾染。在曾经安排的其余botnet上,经由过程批量履行长途下载敕令(见图3-1 批量履行长途履行指令)停止疾速植入韩版挂马站点webshare(见图3-2 webshare 挂马站点)的Nitol.C被控端木马。

\

图3-1 批量履行长途履行指令

\

图3-2 webshare 挂马站点

安天-捕风在自动化监控Nitol.C系列botnet时,也捕捉到近百个上述类似的webshare挂马站点,见图3-2 捕捉的webshare站点:

\

图3-3 捕捉的webshare站点

4. 样本具体阐发

从图1-1 获得的谍报看(节制端-天生器界面、天生被控端的默许文件称号为“鬼影”拼音首写字母,且和“国产”版Nitol的重合),该家属确为Nitol家属的衍生版 。然则Nitol.C并无真正的承继Nitol家属的一切入侵攻击形式,只具有syn flood、tcp flood、http flood三大入侵攻击向量。

1)样本备份和完成自启动功效。

见图4-1 样本备份。木马运转时起首验证注册表项的互斥量值“Serpiei”存在与否来判定本身能否第一次运转,假如第一次运转,木马会停止备份并根据设置决议能否完成自启动功效。

\

图4-1 样本备份

2)C2设置装备摆设解密。

经由过程读取寄存.data区段的全局变量获得C2密文,停止base64+凯撒+异或三重解密获得实在的C2。见图4-2 C2设置装备摆设解密:

\

图4-2 C2设置装备摆设解密

3)与C2树立通讯衔接,获得体系设置装备摆设信息,向C2发送首包。见图4-3 与C2树立通讯:

\

图4-3 与C2树立通讯

4)期待接管并履行C2长途指令。Nitol.C被控端重要完成的是互斥量开释、cmd shell、样本下载、DDoS入侵攻击4种长途指令,此中重要履行的照样DDoS入侵攻击。见表4-1 长途指令范例:

表4-1 长途指令范例

称号

偏移

协定值

备注

样本下载

0×0000-0×0004

0×10

互斥量开释

0×0000-0×0004

0×12、0×06

Cmd shell

0×0000-0×0004

0×14

DDoS

入侵攻击

0×0000-0×0004

0×02、0×03、0×04

重要完成3大入侵攻击向量:0×02==>tcp flood0x03==>http flood0x04==>syn flood

5. 电信-云堤“肉鸡”谍报反应

据电信云堤靠得住数据反应,Nitol.C系列的botnets中有大批“肉鸡”埋伏在中国境内,而今朝懂得这些“肉鸡”的起源重要有2个:

1.经由过程公开网络黑产停止“肉鸡”收买。

2.经由过程破绽漏洞bug应用对象停止批量抓鸡。也阐明海内许多装备疏于保护,破绽漏洞bug未能实时修补。

6. 安天-捕风入侵攻击谍报

Nitol.C系列样本,安天-捕风在2017年6月初开端分类检出并停止自动化监控。监控Nitol.C系列的入侵攻击谍报成果表现,停止2017年9月12日Nitol.C的重要C2根本安排于韩国(占95.7%),共提议间歇性DDoS入侵攻击1,249次,制作298起DDoS入侵攻击变乱,而重要入侵攻击目标也根本散布于韩国(占93.86%),入侵攻击范例重要应用syn flood(占98.68%)入侵攻击形式,其重要入侵攻击变乱的光阴集中于2017年6月19日——2017年7月3日之间。见图6-1- Nitol.C入侵攻击光阴散布:

\

图6-1 Nitol.C入侵攻击光阴散布

入侵攻击目标

入侵攻击范例

入侵攻击目标地区

入侵攻击开端光阴

入侵攻击者地区

备注

182.212.47.244

syn flood

韩国

2017-09-10 19:58:14

韩国

116.40.152.152

syn flood

韩国

2017-09-09 15:43:36

韩国

49.163.23.181

syn flood

韩国

2017-09-08 22:14:38

韩国

221.140.27.229

syn flood

韩国

2017-09-04 18:52:15

韩国

211.215.157.93

syn flood

韩国

2017-09-03 20:12:35

韩国

114.200.68.5

syn flood

韩国

2017-09-03 01:28:08

韩国

118.220.182.136

syn flood

韩国

2017-09-01 18:55:34

韩国

218.39.179.123

syn flood

韩国

2017-09-02 11:11:13

韩国

112.167.225.197

syn flood

韩国

2017-09-01 20:05:49

韩国

175.113.66.108

syn flood

韩国

2017-09-01 20:05:14

韩国

183.102.11.172

syn flood

韩国

2017-08-29 16:30:50

韩国

182.226.0.191

syn flood

韩国

2017-08-27 15:25:14

韩国

103.23.4.115

syn flood

日本

2017-08-26 22:06:29

韩国

59.14.20.109

syn flood

韩国

2017-08-26 21:38:31

韩国

49.142.213.168

syn flood

韩国

2017-08-26 15:34:56

韩国

120.50.134.85

syn flood

韩国

2017-08-26 15:32:09

韩国

14.46.109.30

syn flood

韩国

2017-08-26 14:59:13

韩国

222.122.48.49

syn flood

韩国

2017-08-26 01:05:30

韩国

175.212.35.110

syn flood

韩国

2017-08-20 19:22:40

韩国

125.180.190.31

syn flood

韩国

2017-08-22 20:51:57

韩国

表5-1入侵攻击谍报

克日,有媒体再次炒作由于某成绩,韩国多个政府部门受到来自中国的DDoS入侵攻击。对此不由要问:经由过程入侵攻击流量的起源就能够判定真正的入侵攻击幕后了吗?DDoS 入侵攻击中“肉鸡”也是此中的受益者,要判定真正的DDoS入侵攻击幕后不是根据入侵攻击流量的起源,而是根据节制全部botnet的C2的把持者。根据监控到的入侵攻击威逼谍报表现,自2017年1月1日至2017年9月12日,(监控到的)环球共产生125,604,685 次间歇性DDoS入侵攻击(见图 6-2环球DDoS入侵攻击威逼谍报),入侵攻击目标是韩国的有102,730 次,仅盘踞总入侵攻击次数的0.08178%,而提议间歇性DDoS入侵攻击韩国的C2重要来自于美国的约60%,其次是韩国本身约30+%,而来自中国和日本的仅占10%不到;C2位于韩国提议的间歇性DDoS入侵攻击有3,390,321 次,盘踞总入侵攻击次数的2.670%;C2位于韩国提议的间歇性DDoS入侵攻击是入侵攻击目标位于韩国的33倍;C2位于韩国向中国境内提议的间歇性DDoS入侵攻击是3,100,239 次,盘踞C2位于韩国提议的间歇性DDoS入侵攻击的94.14%,很直白的阐明C2位于韩国的botnet重要入侵攻击对象是中国境内目标;C2位于中国向韩国地区提议的间歇性DDoS

入侵攻击是37,015 次,仅盘踞C2位于中国提议入侵攻击量的0.07638% (37,015/48,461,408)。以是,这个锅,中国黑客究竟背不背呢?You known!I known!

\

图 6-2 环球DDoS入侵攻击威逼谍报

7. 总结

无论何情何理,未经受权任意提议DDoS入侵攻击都是不可取,经由过程DDoS入侵攻击手腕停止巧取豪夺更是违法行为!近些年来,大影响DDoS入侵攻击变乱更加频发,入侵攻击流量也逐次革新汗青新高。DDoS botnet的“肉鸡”从繁多的Windows环境延伸到Linux环境,现在也拓展到了IoT财产;DDoS botnet的节制端异样也从只兼容繁多环境范例的“肉鸡”到完美兼容多环境范例的“肉鸡”;DDoS botnet的拓展也完成破绽漏洞bug自动化应用停止“抓鸡”,达到了疾速安排botnet并成型的后果。这些环境也都阐明现在的大部分botnet所把握的“肉鸡”量曾经远远不止几千或上万台,每一个botnet拥有的入侵攻击才能都远远超于常人的设想,更何况根据监控到的谍报表现,每次大型的DDoS入侵攻击变乱都因此组合“打怪”形式停止多个botnet组合入侵攻击。从多维度阐发注解,DDoS 入侵攻击固然是有害入侵攻击,但也重大威逼了互联网的失常成长,反抗互联网的DDoS入侵攻击,为互联网网安成长保驾护航的任务仍旧任重而道远!

在此,也提示宽大互联网用户网安、康健上彀,文化应用网络,装置杀毒、防毒软件并实时修补装备破绽漏洞bug!

相关文章
最新文章
热点推荐