for nylig opdagede analytikere af trusselsefterretninger et stort antal unormale SSH brute force-angreb og opdagede et botnet, der kontrollerede en slagtekyllingsstørrelse på 9000+ og identificerede det som et Nitol-botnet gennem sporingsanalysen af angrebsværktøjssættet og angrebsprocessen. Gennem den binære omvendte analyse og sporbarhed retsmedicinsk analyse af botnet, kontrol vært for botnet er placeret, og cloud-udbyder er kontaktet, og kontrol vært for botnet er lukket ned.
Nitol er en af de mest aktive DDoS botnets. Nitol – familiens open source-kode er blevet opgraderet, ændret og brugt af udenlandske hackere, og Nitol har allerede mere end 10 varianter af forskellige protokoller. Selvom Nitol-familiens botnetværktøjer har spredt sig til andre lande, inficerer det hovedsageligt husholdningsudstyr. Især med eksponeringen af NSA ‘ s evige blå sårbarhed og Structs2-serien af sårbarheder forekommer hændelsen med masseimplantation af ondsindet kode fra forskellige familier (Nitol-familie inkluderet) gennem automatiseret udnyttelsesværktøj.
dette papir introducerer hovedsageligt sprednings-og diffusionstilstand og funktionalitet af Nitol botnet og giver en foreløbig introduktion til botnets infrastruktur og værktøjer.
2 Attack Mode Analysis
Nitol botnet opdaget denne gang bruger ikke kun den traditionelle brute force-metode, men bruger også et stort antal udnyttelsesværktøjer, som f.eks. DDoS-værktøjet leveres til slagtekyllingen efter at være kontrolleret, og slagtekyllingen eller slagtekyllingegruppen styres til at udføre ondsindede handlinger. Den samlede angrebsproces er som følger:
ved analysen blev C2-adressen 112.73.93.251 fundet at være en HFS-server (Http File Server), der var vært for et stort antal ondsindede filer, som vist nedenfor:
i dette papir, de vigtigste ondsindede prøver hostet af HFS bruges som spor til at analysere byggemetode, funktionalitet og infrastruktur af botnet.
2.1 spredning og levering
2.1.1 Brute-force
i processen med at analysere filen hvgj11.der blev fundet et stort antal brute force-handlinger i prøven. Følgende figur viser brugernavnet og adgangskoden, der blev fundet under den omvendte analyse:
når brute force er vellykket, sender angriberen følgende angrebskommandoer til slagtekyllingesiden: luk systemets brandvæg, Hent DDoS-værktøjet gennem kommandoen, udfør den hentede fil, og indstil opstartsposten.
2.1.2 udnyttelse af sårbarhed
i processen med at analysere hvgj11.vi fandt ikke kun brute force-handlingen, men også et angreb mod target ‘ s 139 og 445 porte ved at udnytte Eternal Blue + DoublePulsar sårbarheder. Når angrebet er vellykket, vil DDoS angreb værktøj blive hentet.
følgende figur viser den udnyttende udbredelsestrafik, der sendes under driften af hvj11.eks:
trafikken analyseres ved hjælp af PassiveTotal, og der blev fundet et angreb, der udnyttede Eternal Blue + DoublePulsar-sårbarheder.
andre udnyttelsesværktøjer hostes også på C2-serveren, som vist i følgende tabel:
|
filnavn |
fil rolle eller funktion |
|
1.lynlås |
værktøj indstillet til at angribe CCAV 60001 port |
|
ccav.lynlås |
lynfilen indeholder et stort antal værktøjssæt til angreb på CCAV 60001-porten. Når angrebet er vellykket, hentes DDoS-værktøjet fra C2 |
|
sc.lynlås |
et portscanningsværktøjssæt med navnet chniaoge custom port scanner med funktionaliteten af crack og levering |
|
gjb.rar |
Gjb.rar gemmer et stort antal ondsindede fjernbetjeningsværktøjer og udnytter værktøjer, der bruges til at angribe hovedsageligt CCAV-brugere |
|
linghang.lynlås |
Eternal Blue, Eternalromance, DoublePulsar, som bruges til at angribe hovedsageligt porte 139, 445, 3306 |
når udnyttelsen er vellykket, vil programmet udbrede og kalde DLL-filen for at hente DDoS-værktøjet.
2.2 DDoS angreb
under analysen blev der opdaget op til 14 DDoS-angrebsmetoder, og vi fandt ud af, at forskellige DDoS-angreb blev udført i henhold til forskellige parametre.
angrebet parameter korrespondance tabel er som følger:
|
DDoS metode |
Parameter |
anmærkninger |
|
TCP_Flood |
0 |
ikke root tilladelse |
|
|
0 |
Root tilladelse |
|
ICMP_Flood |
1 |
|
|
GETFT_Flood |
2 |
|
|
HEAD_Flood |
3 |
|
|
UDP_Flood |
4 |
|
|
SYN_Flood |
5 |
|
|
GET_Flood |
6 |
|
|
POST_Flood |
7 |
|
|
UDP_Flood |
8 |
ikke root tilladelse |
|
|
8 |
Root tilladelse |
|
_ _ _ _ _ _ _ _ _ _ _ |
9 |
|
|
ack_Flood |
10 |
|
|
_ _ _ _ _ _ _ _ _ _ _ |
11 |
2.3 stjæle Data
i processen med at analysere den ondsindede prøve.F. eks, ikke kun fjernbetjeningshandlingen, men også et stort antal myskl-databaseoperationer blev fundet, som vist i den følgende figur:
som det kan ses i figuren, er der Salgs-og regnskabsrelaterede nøgleord, såsom BILLID, SALEBILL, SALEDETAIL, PAYDETAIL, mistænkt for at blive brugt til at stjæle virksomhedernes økonomiske oplysninger.
3.1 Sample Behavior Association
under analysen af hvgj11.eks, det blev fundet, at hvgj11.det var den samme som den prøve, der blev brugt af Nitolgruppens botnet efter udpakning. Følgende figur er en kodelogisk sammenligning mellem den prøve, vi fandt denne gang, og en kendt Nitol botnet-prøve:
til sammenligning kan det udledes, at botnet opdaget denne gang er en gren af Nitol botnet, hvorfor dette papir er så navngivet.
3.2 C2 Server
i processen med prøveanalyse kan C2-adressen bekræftes som 112.73.93.25, som ikke er inkluderet i nogen informationsplatform (før 15:00, 22.August 2018). Ved at spørge hvem der er, kan det bestemmes, at denne IP er fra Eflycloud.
på nuværende tidspunkt omfatter Eflyclouds genopladningsmetoder Alipay, Vichat, online banking og offline betaling, baseret på hvilken en angriber kan målrettes.det er .echat, der er designet til at hjælpe dig med at finde ud af, hvad du skal gøre.
derudover SKAL brugere af Eflycloud angive mobiltelefonnummer og postkasseoplysninger under registreringsprocessen, hvilket giver en anden måde at målrette angriberen på.
kundeservicemedarbejderne hos Eflycloud er allerede blevet kontaktet, og C2-serveren er blevet lukket ned og er i øjeblikket utilgængelig.
3.3 værktøjssæt
den pågældende angriber brugte et stort antal udnyttelsesværktøjer og fjernbetjeningsværktøjer, som vist i nedenstående tabel.
|
værktøjssæt |
funktionalitet |
|
JBOSS |
til angreb CCAV system |
|
Skyggemægler |
SMB udnytte værktøj til at opnå remote host shell tilladelse og levere ondsindet prøve nyttelast |
|
Taifeng DDOS |
Generer DDoS angreb værktøjer |
4 Analyse Konklusion
analysen af dette botnet er opsummeret som følger:
1.Almindelige botnet-controllere vil implementere C2-service og filoverførselstjeneste på forskellige noder, men C2-tjenesten og filoverførselstjenesten, der findes denne gang, hostes på den samme knude (112.73.93.251);
2.De værktøjer, der anvendes af botnet controller har været udsat for netværket og kan hentes og bruges direkte. Efter at have hentet og analyseret finder vi dem at være almindelige fjernbetjeningsværktøjer;
3.Almindelige botnet-controllere skjuler C2-og registreringsoplysninger ved hjælp af metoder såsom køb af domænenavnetjeneste, DGA-algoritme. Men C2-tjenesten, der findes i dette papir, er hostet af den indenlandske cloud-tjenesteudbyder.
baseret på ovenstående analyse udledes følgende:
1.Botnet lanceres af individuel eller lille gruppe uden rig erfaring, de værktøjer, der bruges af botnet, er almindelige fjernbetjeningsværktøjer er et eksempel;
2.Botnet-controllerens sande identitet kan fås gennem registreringsoplysningerne fra den indenlandske cloud-tjenesteudbyder. Botnet-controlleren bygger hurtigt et botnet til test gennem en indenlandsk cloud-tjenesteudbyder uden for meget hensyn til privatlivets fred for selve botnet.
5 Beskyttelsesforanstaltninger
1.Bloker C2 i henhold til IOC-oplysningerne i tillægget og Bloker ondsindede prøver fra at komme ind i virksomheden;
2.Installer leverandørleveret patch for at løse sårbarheden eller opgradere programmet til den nyeste ikke-sårbare version;
3.Hvis du finder en mistænkt ondsindet prøve, kan du sende den til Skysandkasse til detektion og træffe en hurtig beslutning baseret på detektionsresultatet;
4.It anbefales at implementere IPS-aktiveret enhed for at beskytte mod forskellige udnyttelser.
Appendiks: IOC
C2 med 112.73.93.251
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |