從2017年中“永恒之藍(lán)”*席卷,到2018年初的“英特爾CPU漏洞事件”大爆發(fā),近年來,隨著網(wǎng)絡(luò)技術(shù)水平的不斷提升,以“云物移大智”等為代表的新興技術(shù)得到廣泛應(yīng)用,新產(chǎn)業(yè)新模式層出不窮,帶來了全新的商業(yè)化圖景,但隨之而來的日益嚴(yán)重的信息安全問題,也讓人們對網(wǎng)絡(luò)安全愈發(fā)關(guān)注與重視。
近日,金山云安珀實驗室成功破獲一起利用大規(guī)模僵尸網(wǎng)絡(luò)進行大流量DDoS攻擊的有組織活動,經(jīng)深入調(diào)查后發(fā)現(xiàn),該組織掌握的肉雞zui多高達75萬臺,通過層層加密隱匿攻擊源頭,在幕后對企業(yè)、機構(gòu)發(fā)動針對性的大規(guī)模DDoS攻擊,進而謀取不正當(dāng)利益。
安珀實驗室監(jiān)控到網(wǎng)絡(luò)流量突發(fā)異常后,*時間進行分析排查,確定異常流量來自某幾臺被控制的云主機,正在在對外發(fā)起大流量的DDoS攻擊,深入調(diào)查后發(fā)現(xiàn),這些云主機屬于某僵尸網(wǎng)絡(luò)控制的肉雞,zui后順藤摸瓜,成功追蹤到攻擊源。下面詳細(xì)介紹分析過程。
1. 入侵分析
首先,根據(jù)事發(fā)主機的流量特征,在金山云分布式蜜網(wǎng)平臺中找到了被植入同一木馬的系統(tǒng),然后提取了蜜罐中發(fā)起DDoS攻擊的木馬程序,名稱為libudev.so。并通過流量監(jiān)控,獲得了該木馬連接的C&C控制端IP:203.12.*.*。
隨后從該樣本中提取出三個C&C控制端服務(wù)器的域名:
baidu.gd***.com
pcdown.gd***.com
soft8.gd***.com
其中一個域名pcdown.gd***.com沒有解析記錄,可以判斷是備用域名。另外兩個域名解析到某一臺香港服務(wù)器上,IP正是前文提到的C&C控制端IP:203.12.*.*。
通過搜索根域名gd***.com的威脅情報數(shù)據(jù),發(fā)現(xiàn)該根域名注冊于2015年,域名擁有者對該域名的Whois信息進行了隱匿。通過對歷史數(shù)據(jù)的查詢,找到一個早期注冊該域名的:145612****@***.com
2. 身份溯源
通過技術(shù)手段,拿到了C&C控制端機器(簡稱c1)的登入日志,綜合分析后判定c1為入侵者本人使用,而不是肉雞。從日志來源IP可以看到,入侵者有一定反偵察意識,利用了至少一層跳板主機企圖隱藏自己的真實IP,跳板主機IP為45.32.*.*(簡稱為v1),歸屬地為日本。
同時,我們發(fā)現(xiàn)這臺主機還會向另一臺機器發(fā)起RDP連接,IP為203.12.*.*(簡稱為w1)。通過分析w1的登錄日志,我們發(fā)現(xiàn)攻擊者會在此機器中進行大量的入侵準(zhǔn)備和記錄等操作,因此我們判斷v1為攻擊者使用的zui后一層跳板。此服務(wù)器歸屬于日本的VPS運營商vultr,vultr在國內(nèi)的付款是通過支付寶,信用卡等實名進行的。
我們繼續(xù)分析w1的日志,發(fā)現(xiàn)如下其他來源機器的信息:
s1、119.81.*.* 客戶端名稱:MS7
s2、203.12.*.* 客戶端名稱:WIN-3PLKM2PLE6E
s3、36.250.*.* 客戶端名稱:zhao**deMacBook
推斷名字為zhao**的人屬于該黑產(chǎn)團伙的一員。
通過對s3的檢測,發(fā)現(xiàn)它開放如下服務(wù):
這是一個測試下載服務(wù)器的站點,截圖中可以發(fā)現(xiàn)8***.com這個域名,通過搜索威脅情報,此域名是一個釣魚欺詐域名。我們找到名字為wang**的人,他的為27473****@***.com。從相關(guān)信息判斷,此人從事黑產(chǎn)的可能性較大。
下圖為此域名歷史解析過的IP地址,結(jié)合之前我們分析的信息,可以判斷出這個團伙所在地為福建的可能性比較大。
結(jié)合上述線索,可以對團伙人員身份進行交叉定位。由于涉及信息敏感,此處不再深入介紹。
3. 僵尸網(wǎng)絡(luò)探查
通過技術(shù)手段,我們掌握了該團伙歷*所有控制的肉雞IP列表,共有75萬之多
此外,我們還獲得了黑客的控制端程序,其客戶端配置界面如下:
上圖是其木馬生成器,可以配置DNS、C&C域名、配置文件地址等。可以看到,C&C地址以及版本號與當(dāng)前被捕獲的樣本類似。黑客可以在服務(wù)器端批量管理所有當(dāng)前活躍的肉雞,并可查詢其IP地址、版本、硬件架構(gòu)、處理器、時間戳、帶寬等信息。
4. 樣本分析
樣本運行后,首先通過readlink來獲取當(dāng)前樣本的運行路徑。樣本內(nèi)置了一個特定的解密算法,所有的加解密均采用該算法完成,算法邏輯如下:
char * encrypt_code(char * input, int length)
{
char * xorkeys = "BB2FA36AAA9541F0";
char * begin = input;
for(int i = 0; i < length; i++)
{
*input++ ^= xorkeys[i %16];
}
return begin;
}
通過上述解密算法,解密出樣本的配置信息,及C&C服務(wù)器上的配置文件路徑。解密后得到配置文件路徑:http://pcdown.gd***.com:85/cfg.rar,該文件在分析時已無法訪問。
之后通過fork子進程,調(diào)用setsid函數(shù),切換到系統(tǒng)根目錄等方式,樣本創(chuàng)建了一個守護進程。接下來判斷運行時參數(shù),如果傳入?yún)?shù)個數(shù)為2,則刪除自身,同時運行傳入的第2個參數(shù),猜測此處或為樣本更新邏輯。
當(dāng)運行時參數(shù)個數(shù)不為3時,在之前解密出的系統(tǒng)路徑下復(fù)制自身,可選路徑有/usr/bin, /bin, /tmp, 并通過在樣本尾部添加11個隨機字符的方式,使自身的hash值每次都不同,用于對抗檢查hash值這一類的掃描。
樣本自身還攜帶了一個rootkit模塊,能夠?qū)ξ募⒍丝诘冗M行隱藏,給安全人員的手工排查帶來一定的困難。樣本運行時會將該模塊加載到系統(tǒng)內(nèi)核,一旦加載完成,就將該模塊文件從磁盤刪除。
下圖代碼是嘗試將自身作為服務(wù)寫入到系統(tǒng)啟動目錄下,使樣本每次能隨著系統(tǒng)自啟動。
接下來樣本會解密出遠(yuǎn)程服務(wù)器地址,之間用|符號進行分隔。其中unk_80B324C處解出的地址列表為: soft8.gd***.com:3802|113.10.*.*:3802|baidu.gd***.com:3802
之后,調(diào)用rootkit模塊功能, 隱藏當(dāng)前進程所分配的端口號。
樣本zui終創(chuàng)建了3個線程, 來分別執(zhí)行不同的任務(wù)。
14
Daemon_get_kill_process線程在一個循環(huán)中持續(xù)從服務(wù)器端下載配置文件, 如果下載失敗,就休眠1800秒,下載成功后,解密配置文件,然后將內(nèi)容保存在kill_cfg變量中。
Kill_process線程在一個循環(huán)中持續(xù)監(jiān)聽服務(wù)器端下發(fā)的配置文件kill_cfg是否已經(jīng)下載成功,一旦下載完成,會讀取每一行的內(nèi)容,根據(jù)內(nèi)置的參數(shù)決定對某個特定的文件名及對應(yīng)進程進行刪除和終止。
Tcp_thread線程首先向c&c服務(wù)器發(fā)送肉雞的硬件及軟件信息,包括設(shè)備類型、設(shè)備版本、一段32個字節(jié)的隨機字符串組成的設(shè)備id、固定的字符串”STATIC”、當(dāng)前bot的版本號2.0.1、 內(nèi)存使用情況、cpu頻率、當(dāng)前網(wǎng)速,以及當(dāng)前設(shè)備上的rootkit的安裝情況等信息,這些信息在加密后被發(fā)送到服務(wù)器端。
然后,根據(jù)服務(wù)器的返回數(shù)據(jù),首先計算crc值進行校驗,通過后對命令進行解碼,進入exec_packet控制流程。
控制流程目前包含了6個控制碼,分別為:
1.停止攻擊
2.創(chuàng)建多個線程發(fā)起攻擊
3.下載文件并執(zhí)行
4.更新bot樣本
5.發(fā)送系統(tǒng)信息到服務(wù)器
6.下載新的配置文件
5. 結(jié)語
本次事件由網(wǎng)關(guān)的一次突發(fā)流量異常引起,成功發(fā)現(xiàn)了黑客使用的控制服務(wù)器,zui終掌握了一個數(shù)十萬肉雞規(guī)模的僵尸網(wǎng)絡(luò),通過及時進行追蹤防護,有效避免了損失的發(fā)生。
金山云一直致力于構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境,面對惡意DDoS攻擊,金山云通過為用戶提供完整的安*方案,建立了的防御體系。在金山云已備案域名zui高可配備1Tbps的DDoS防護,用戶在遭遇大流量DDoS攻擊的情況下,通過在配置后將攻擊流量引至高防IP,確保源站穩(wěn)定可用。
諸如在面對易遭受攻擊的游戲行業(yè),金山云高防解決方案針對游戲生命周期短、薄弱點多等痛點,提供大容量DDoS清洗服務(wù),并通過開啟多臺云服務(wù)器,對抗CC攻擊,為用戶提供的從物理到應(yīng)用層面的防護。
目前,金山云高防正在開放免費試用活動,電信聯(lián)通移動三線BGP機房,3月份期間均可以申請試用,歡迎隨時與我們。
【關(guān)于金山云安珀實驗室】
實驗室專注于安全技術(shù)的研究與探索,涉獵領(lǐng)域包括僵尸網(wǎng)絡(luò)的探究、病毒木馬的分析、漏洞的利用與防御技術(shù)、安全事件的跟蹤分析等。安珀實驗室已深入多個流行的僵尸網(wǎng)絡(luò)家族,成功完成了多例溯源分析,并與公安部門合作聯(lián)合打擊網(wǎng)絡(luò)黑產(chǎn),通過緊密協(xié)同業(yè)界安全動態(tài),將研究成果發(fā)布出來與業(yè)界共享,為構(gòu)建安全健康的網(wǎng)絡(luò)環(huán)境而努力。
