nedávno analytici Huawei threat intelligence objevili velké množství abnormálních útoků SSH hrubou silou a objevili botnet ovládající velikost brojlerů 9000+ a identifikovali jej jako Nitol botnet prostřednictvím sledovací analýzy sady nástrojů útoku a procesu útoku. Prostřednictvím binární reverzní analýzy a sledovatelnosti forenzní analýzy botnetu je umístěn řídicí hostitel botnetu a je kontaktován poskytovatel cloudových služeb a řídicí hostitel botnetu je vypnut.
Nitol je jedním z nejaktivnějších DDoS botnetů. Otevřený zdrojový kód rodiny Nitol byl upgradován, upraven a používán zahraničními hackery a Nitol již má více než 10 variant různých protokolů. Přestože se botnetové nástroje rodiny Nitolů rozšířily do dalších zemí, infikuje hlavně domácí zařízení. Zejména s expozicí věčné modré zranitelnosti NSA a řady zranitelností Structs2 dochází k incidentu hromadného implantování škodlivého kódu různých rodin (včetně rodiny Nitolů) prostřednictvím automatizovaného exploitového nástroje.
tento článek představuje především režim šíření a difúze a funkčnost Nitol botnetu a poskytuje předběžný úvod do infrastruktury a nástrojů botnetu.
2 Analýza režimu útoku
botnet Nitolu objevil tentokrát nejen tradiční metodu hrubé síly, ale také používá velké množství exploitových nástrojů, jako jsou ShadowBroker, JBoss, MySql3306. Nástroj DDoS je dodáván do brojlerů po kontrole a skupina brojlerů nebo brojlerů je řízena tak, aby prováděla škodlivé akce. Celkový proces útoku je následující:
při analýze bylo zjištěno, že adresa C2 112.73.93.251 je serverem HFS (Http File Server), který hostí velké množství škodlivých souborů, jak je uvedeno níže:
v tomto článku jsou klíčové škodlivé vzorky hostované HFS použity jako vodítka k analýze konstrukční metody, funkčnosti a infrastruktury botnetu.
2.1 šíření a dodání
2.1.1 hrubá síla
v procesu analýzy souboru whgj11.exe, ve vzorku bylo nalezeno velké množství akcí hrubé síly. Následující obrázek ukazuje uživatelské jméno a heslo nalezené během reverzní analýzy:
jakmile je hrubá síla úspěšná, útočník pošle na stranu brojlerů následující příkazy útoku: vypněte systémovou bránu firewall, stáhněte nástroj DDoS pomocí příkazu wget, spusťte stažený soubor a nastavte spouštěcí položku systému Linux.
2.1.2 vykořisťování zranitelnosti
v procesu analýzy whgj11.exe, našli jsme nejen akci hrubou silou, ale také útok proti portům target 139 a 445 využitím zranitelností Eternal Blue + DoublePulsar. Jakmile je útok úspěšný, nástroj DDoS útok bude stažen.
následující obrázek ukazuje využití šíření provozu odeslaného během běhu whgj11.exe:
provoz je analyzován pomocí Pasivetotal a byl nalezen útok využívající zranitelnosti Eternal Blue + DoublePulsar.
další nástroje exploit jsou také hostovány na serveru C2, jak je uvedeno v následující tabulce:
|
název souboru |
role nebo funkce souboru |
|
1.zip |
sada nástrojů pro útok na port CCAV 60001 |
|
ccav.zip |
soubor zip obsahuje velké množství sad nástrojů pro útok na port CCAV 60001. Po úspěšném útoku se nástroj DDoS stáhne z C2 |
|
sc.zip |
sada nástrojů pro skenování portů s názvem qniaoge custom port scanner s funkčností crack a delivery |
|
gjb.rar |
Gjb.rar ukládá velké množství škodlivých nástrojů pro dálkové ovládání a využívá nástroje, které se používají k útokům hlavně na uživatele CCAV |
|
linghangu.zip |
soubor zip obsahuje mnoho exploitových nástrojů, jako je Eternal Blue, EternalRomance, DoublePulsar, které se používají k útoku hlavně na porty 139, 445, 3306 |
jakmile je exploit úspěšný, program se rozšíří a zavolá soubor DLL ke stažení nástroje DDoS.
2.2 DDoS útok
při analýze Linuxwhgj bylo objeveno až 14 metod DDoS útoků a zjistili jsme, že různé DDoS útoky byly prováděny podle různých parametrů.
tabulka korespondence parametrů útoku je následující:
|
DDoS metoda |
parametr |
poznámky |
|
TCP_Flood |
0 |
oprávnění bez root |
|
WZTCP_Flood |
0 |
oprávnění Root |
|
ICMP_Flood |
1 |
|
|
GETFT_Flood |
2 |
|
|
HEAD_Flood |
3 |
|
|
UDP_Flood |
4 |
|
|
SYN_Flood |
5 |
|
|
GET_Flood |
6 |
|
|
POST_Flood |
7 |
|
|
UDP_Flood |
8 |
oprávnění bez root |
|
WZUDP_Flood |
8 |
oprávnění Root |
|
WZSYN_Flood |
9 |
|
|
ack_Flood |
10 |
|
|
xzcc_Flood |
11 |
2.3 ukrást Data
v procesu analýzy škodlivého vzorku whgj.exe, nejen akce dálkového ovládání, ale také velké množství databázových operací MySQL, jak je znázorněno na následujícím obrázku:
jak je vidět na obrázku, existují klíčová slova související s prodejem a účetnictvím, jako jsou BILLID, SALEBILL, SALEDETAIL, PAYDETAIL, podezřelá z toho, že byla použita k odcizení firemních finančních informací.
3.1 asociace chování vzorků
během analýzy whgj11.exe, bylo zjištěno, že whgj11.exe byl podobný vzorku používanému botnetem Nitol Group po rozbalení. Následující obrázek je logickým porovnáním kódu mezi vzorkem, který jsme tentokrát našli, a známým vzorkem botnetu Nitol:
pro srovnání lze odvodit, že botnet objevený tentokrát je pobočkou botnetu Nitol, a proto je tento dokument tak pojmenován.
3.2 C2 Server
v procesu analýzy vzorků lze adresu C2 potvrdit jako 112.73.93.25, která nebyla zahrnuta do žádné informační platformy (před 15: 00 22. srpna 2018). Dotazem na Whois lze zjistit, že tato IP je z Eflycloud.
v současné době zahrnují metody dobíjení Eflycloud Alipay, WeChat, online bankovnictví a offline platby, na jejichž základě lze útočníka zacílit.
kromě toho musí uživatelé Eflycloud během procesu registrace poskytnout číslo mobilního telefonu a informace o poštovní schránce, což poskytuje další způsob, jak zacílit útočníka.
pracovníci zákaznického servisu Eflycloud již byli kontaktováni a server C2 byl vypnut a je v současné době nepřístupný.
3.3 sada nástrojů
dotyčný útočník použil velké množství exploitových nástrojů a nástrojů dálkového ovládání, jak je uvedeno v následující tabulce.
|
sada nástrojů |
funkčnost |
|
JBOSS |
pro útok na CCAV systém |
|
ShadowBroker |
SMB exploit nástroj pro získání povolení vzdáleného hostitele shell a poskytování škodlivého vzorku užitečného zatížení |
|
Taifeng DDOS |
generování nástrojů DDoS útoku |
4 závěr analýzy
analýza tohoto botnetu je shrnuta následovně:
1.Běžné řadiče botnet nasadí službu C2 a službu stahování souborů na různých uzlech, ale služba C2 a služba stahování souborů nalezená tentokrát jsou hostována ve stejném uzlu (112.73.93.251);
2.Nástroje používané řadičem botnet byly vystaveny síti a lze je stáhnout a použít přímo. Po stažení a analýze je považujeme za běžné nástroje dálkového ovládání;
3.Běžné řadiče botnet skrýt C2 a registrační informace metodami, jako je nákup doménové jméno služby, algoritmus DGA. Služba C2 nalezená v tomto dokumentu je však hostována domácím poskytovatelem cloudových služeb.
na základě výše uvedené analýzy se vyvozuje následující:
1.Botnet je spuštěn individuální nebo malou skupinou bez bohatých zkušeností, nástroje používané botnetem jsou běžné nástroje dálkového ovládání je příkladem;
2.Skutečnou identitu řadiče botnet lze získat prostřednictvím registračních informací domácího poskytovatele cloudových služeb. Řadič botnetu rychle vytvoří botnet pro testování prostřednictvím domácího poskytovatele cloudových služeb, aniž by příliš zvážil soukromí samotného botnetu.
5 Ochranná Opatření
1.Blokovat C2 podle informací MOV uvedených v příloze a blokovat škodlivé vzorky od vstupu do podniku;
2.Nainstalujte opravu dodanou dodavatelem a opravte chybu zabezpečení nebo upgradujte software na nejnovější verzi, která není zranitelná;
3.Pokud najdete podezřelý škodlivý vzorek, můžete jej odeslat do Huawei Cloud Sandbox pro detekci a rychle se rozhodnout na základě výsledku detekce;
4.It doporučuje se nasadit zařízení s podporou IPS, které chrání před různými exploity.
Dodatek: IOC
C2:112.73.93.251
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |