Kürzlich entdeckten Huawei Threat Intelligence-Analysten eine große Anzahl abnormaler SSH-Brute-Force-Angriffe und entdeckten ein Botnetz, das eine Broilergröße von 9000+ kontrollierte, und identifizierten es als Nitol-Botnetz durch die Tracking-Analyse des Angriffstools und des Angriffsprozesses. Durch die binäre Reverse-Analyse und die forensische Analyse des Botnetzes wird der Steuerhost des Botnetzes lokalisiert, der Cloud-Dienstanbieter kontaktiert und der Steuerhost des Botnetzes heruntergefahren.
Nitol ist eines der aktivsten DDoS-Botnetze. Der Open-Source-Code der Nitol-Familie wurde von ausländischen Hackern aktualisiert, modifiziert und verwendet, und Nitol verfügt bereits über mehr als 10-Varianten verschiedener Protokolle. Obwohl sich die Botnet-Tools der Nitol-Familie auf andere Länder ausgebreitet haben, infiziert sie hauptsächlich Haushaltsgeräte. Insbesondere mit der Aufdeckung der Eternal Blue-Sicherheitsanfälligkeit der NSA und der Structs2-Reihe von Sicherheitsanfälligkeiten tritt der Vorfall auf, dass bösartiger Code verschiedener Familien (einschließlich der Nitol-Familie) in großen Mengen durch automatisiertes Exploit-Tool implantiert wird.
Dieses Papier stellt hauptsächlich den Verbreitungs- und Diffusionsmodus und die Funktionalität des Nitol-Botnetzes vor und bietet eine vorläufige Einführung in die Infrastruktur und die Tools des Botnetzes.
2 Analyse des Angriffsmodus
Das diesmal entdeckte Nitol-Botnetz verwendet nicht nur die traditionelle Brute-Force-Methode, sondern auch eine große Anzahl von Exploit-Tools wie ShadowBroker, JBoss, MySql3306. Das DDoS-Tool wird nach der Kontrolle an den Broiler geliefert, und der Broiler oder die Broilergruppe wird gesteuert, um böswillige Aktionen auszuführen. Der gesamte Angriffsprozess ist wie folgt:
Bei der Analyse wurde festgestellt, dass die C2-Adresse 112.73.93.251 ein HFS-Server (Http-Dateiserver) ist, der eine große Anzahl schädlicher Dateien hostet, wie unten gezeigt:
In diesem Papier, die wichtigsten bösartigen Proben von HFS gehostet werden als Anhaltspunkte verwendet Bauweise zu analysieren, Funktionalität und Infrastruktur des Botnetzes.
2.1 Verbreitung und Lieferung
2.1.1 Brute-Force
Bei der Analyse der Datei whgj11.in der Stichprobe wurde jedoch eine große Anzahl von Brute-Force-Aktionen gefunden. Die folgende Abbildung zeigt den Benutzernamen und das Kennwort, die während der umgekehrten Analyse gefunden wurden:
Sobald die Brute-Force erfolgreich ist, sendet der Angreifer die folgenden Angriffsbefehle an die Broiler-Seite: Fahren Sie die Systemfirewall herunter, laden Sie das DDoS-Tool über den Befehl wget herunter, führen Sie die heruntergeladene Datei aus und legen Sie den Linux-Starteintrag fest.
2.1.2 Ausnutzung der Sicherheitsanfälligkeit
Bei der Analyse von whgj11.wir haben jedoch nicht nur die Brute-Force-Aktion gefunden, sondern auch einen Angriff auf die 139- und 445-Ports des Ziels, indem wir die Schwachstellen von Eternal Blue + DoublePulsar ausnutzen. Sobald der Angriff erfolgreich ist, wird das DDoS-Angriffstool heruntergeladen.
Die folgende Abbildung zeigt den Datenverkehr, der während der Ausführung von whgj11 gesendet wird.exe:
Der Datenverkehr wird mit PassiveTotal analysiert, und es wurde ein Angriff gefunden, der die Sicherheitslücken von Eternal Blue + DoublePulsar ausnutzt.
Andere Exploit-Tools werden ebenfalls auf dem C2-Server gehostet, wie in der folgenden Tabelle gezeigt:
|
Dateiname |
Datei Rolle oder Funktion |
|
1.postleitzahl |
Werkzeugsatz zum Angriff auf den CCAV 60001-Port |
|
ccav.postleitzahl |
Die ZIP-Datei enthält eine große Anzahl von Toolsets zum Angriff auf den CCAV 60001-Port. Nach erfolgreichem Angriff wird das DDoS-Tool von C2 heruntergeladen |
|
sc.postleitzahl |
Ein Port-Scan-Tool-Set namens qniaoge Custom Port Scanner mit der Funktionalität von Crack und Delivery |
|
gjb.rar |
GJB.rar speichert eine große Anzahl böswilliger Fernsteuerungstools und Exploit-Tools, mit denen hauptsächlich CCAV-Benutzer angegriffen werden |
|
linghang.postleitzahl |
Die ZIP-Datei enthält viele Exploit-Tools wie Eternal Blue, EternalRomance und DoublePulsar, mit denen hauptsächlich Ports angegriffen werden 139, 445, 3306 |
Sobald der Exploit erfolgreich ist, verbreitet sich das Programm und ruft die DLL-Datei auf, um das DDoS-Tool herunterzuladen.
2.2 DDoS-Angriff
Während der Analyse von Linuxwhgj wurden bis zu 14 DDoS-Angriffsmethoden entdeckt, und wir stellten fest, dass verschiedene DDoS-Angriffe nach verschiedenen Parametern durchgeführt wurden.
Die angriff parameter korrespondenz tabelle ist wie folgt:
|
DDoS-Methode |
Parameter |
Bemerkungen |
|
TCP_Flood |
0 |
Nicht Root-Berechtigung |
|
WZTCP_Flood |
0 |
Root-Berechtigung |
|
ICMP_Flood |
1 |
|
|
GETFT_Flood |
2 |
|
|
Kopf_flut |
3 |
|
|
UDP_Flood |
4 |
|
|
SYN_Flood |
5 |
|
|
GET_Flood |
6 |
|
|
POST_Flood |
7 |
|
|
UDP_Flood |
8 |
Nicht Root-Berechtigung |
|
WZUDP_Flood |
8 |
Root-Berechtigung |
|
WZSYN_Flood |
9 |
|
|
ack_Flood |
10 |
|
|
xzcc_Flood |
11 |
2.3 Stehlen Sie Daten
Bei der Analyse der bösartigen Probe whgj.exe, nicht nur die Fernsteuerungsaktion, sondern auch eine große Anzahl von MySQL-Datenbankoperationen wurden gefunden, wie in der folgenden Abbildung gezeigt:
Wie in der Abbildung zu sehen ist, gibt es verkaufs- und buchhaltungsbezogene Schlüsselwörter wie BILLID, SALEBILL, SALEDETAIL, PAYDETAIL, die im Verdacht stehen, zum Stehlen von Unternehmensfinanzinformationen verwendet zu werden.
3.1 Sample Behavior Association
Während der Analyse von whgj11.exe, es wurde festgestellt, dass whgj11.exe ähnelte dem Beispiel, das nach dem Entpacken vom Botnetz der Nitol-Gruppe verwendet wurde. Die folgende Abbildung ist ein Codelogikvergleich zwischen dem diesmal gefundenen Beispiel und einem bekannten Nitol-Botnet-Beispiel:
Im Vergleich dazu kann gefolgert werden, dass das diesmal entdeckte Botnetz ein Zweig des Nitol-Botnetzes ist, weshalb dieses Papier so genannt wird.
3.2 C2-Server
Bei der Probenanalyse kann die C2-Adresse als 112.73.93.25 bestätigt werden, die in keiner Informationsplattform enthalten ist (vor 15:00, August 22, 2018). Durch Abfrage des Whois kann festgestellt werden, dass diese IP von Eflycloud stammt.
Derzeit umfassen die Auflademethoden von Eflycloud Alipay, WeChat, Online-Banking und Offline-Zahlung, auf deren Grundlage ein Angreifer angegriffen werden kann.
Darüber hinaus müssen Benutzer von Eflycloud während des Registrierungsprozesses Mobiltelefonnummer und Postfachinformationen angeben, was eine weitere Möglichkeit bietet, Angreifer anzugreifen.
Der Kundenservice von Eflycloud wurde bereits kontaktiert, und der C2-Server wurde heruntergefahren und ist derzeit nicht erreichbar.
3.3 Werkzeugset
Der betroffene Angreifer verwendete eine große Anzahl von Exploit-Tools und Fernsteuerungswerkzeugen, wie in der folgenden Tabelle gezeigt.
|
Werkzeug-Set |
Funktionalität |
|
JBOSS |
für das CCAV-System |
|
ShadowBroker |
SMB-Exploit-Tool zum Abrufen der Remote-Host-Shell-Berechtigung und zum Bereitstellen böswilliger Beispielnutzdaten |
|
Taifeng DDOS |
Generieren Sie DDoS-Angriffstools |
4 Fazit der Analyse
Die Analyse dieses Botnetzes wird wie folgt zusammengefasst:
1.Gängige Botnet-Controller stellen den C2-Dienst und den Datei-Download-Dienst auf verschiedenen Knoten bereit, aber der diesmal gefundene C2-Dienst und der Datei-Download-Dienst werden auf demselben Knoten gehostet (112.73.93.251);
2.Die vom Botnet-Controller verwendeten Tools wurden dem Netzwerk zur Verfügung gestellt und können direkt heruntergeladen und verwendet werden. Nach dem Herunterladen und Analysieren stellen wir fest, dass es sich um gängige Fernbedienungstools handelt.
3.Gemeinsame Botnet-Controller verstecken C2 und Registrierungsinformationen durch Methoden wie den Kauf Domain Name Service, DGA-Algorithmus. Aber der C2-Dienst in diesem Papier gefunden wird von inländischen Cloud-Service-Provider gehostet.
Basierend auf der obigen Analyse wird Folgendes abgeleitet:
1.Die botnet ist gestartet durch individuelle oder kleine gruppe ohne reiche erfahrung, die werkzeuge verwendet durch die botnet sind gemeinsame fernbedienung werkzeuge ist ein beispiel;
2.Die wahre Identität des Botnet-Controllers kann durch die Registrierungsinformationen des inländischen Cloud-Service-Providers ermittelt werden. Der Botnet-Controller erstellt schnell ein Botnetz zum Testen über einen inländischen Cloud-Dienstanbieter, ohne die Privatsphäre des Botnetzes selbst zu sehr zu berücksichtigen.
5 Schutzmaßnahmen
1.Blockieren Sie C2 gemäß den IOC-Informationen im Anhang und verhindern Sie, dass schädliche Samples in das Unternehmen gelangen;
2.Installieren Sie einen vom Hersteller bereitgestellten Patch, um die Sicherheitsanfälligkeit zu beheben, oder aktualisieren Sie die Software auf die neueste nicht anfällige Version;
3.Wenn Sie ein vermutetes schädliches Sample finden, können Sie es zur Erkennung an Huawei Cloud Sandbox senden und basierend auf dem Erkennungsergebnis eine schnelle Entscheidung treffen.
4.It es wird empfohlen, ein IPS-fähiges Gerät zum Schutz vor verschiedenen Exploits bereitzustellen.
Anhang: IOC
C2:112.73.93.251
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |