Recientemente, los analistas de inteligencia de amenazas de Huawei descubrieron una gran cantidad de ataques de fuerza bruta SSH anormales, y descubrieron una botnet que controlaba un tamaño de más de 9000 pollos de engorde y la identificaron como una botnet Nitol a través del análisis de seguimiento del conjunto de herramientas de ataque y el proceso de ataque. A través del análisis binario inverso y el análisis forense de trazabilidad de la red de bots, se localiza el host de control de la red de bots, se contacta con el proveedor de servicios en la nube y se cierra el host de control de la red de bots.
Nitol es una de las redes de bots DDoS más activas. El código fuente abierto de la familia Nitol ha sido actualizado, modificado y utilizado por hackers extranjeros, y Nitol ya tiene más de 10 variantes de protocolos diferentes. Aunque las herramientas de botnet de la familia Nitol se han extendido a otros países, infectan principalmente equipos domésticos. Especialmente con la exposición de la vulnerabilidad Eternal Blue de la NSA y la serie de vulnerabilidades Structus2, se produce el incidente de la implantación masiva de código malicioso de varias familias (incluida la familia Nitol) a través de una herramienta de exploit automatizada.
Este documento presenta principalmente el modo de propagación y difusión y la funcionalidad de la botnet Nitol, y proporciona una introducción preliminar a la infraestructura y las herramientas de la botnet.
2 Análisis de modo de ataque
La botnet Nitol descubierta esta vez no solo utiliza el método tradicional de fuerza bruta, sino que también utiliza un gran número de herramientas de exploits, como ShadowBroker, JBoss, MySql3306. La herramienta DDoS se entrega al pollo de engorde después de ser controlado, y el pollo de engorde o grupo de pollos de engorde se controla para realizar acciones maliciosas. El proceso general de ataque es el siguiente:
Al analizar, se encontró que la dirección C2 112.73.93.251 era un servidor HFS (Servidor de archivos Http), que alojaba una gran cantidad de archivos maliciosos, como se muestra a continuación:
En este documento, las muestras maliciosas clave alojadas por HFS se utilizan como pistas para analizar el método de construcción, la funcionalidad y la infraestructura de la botnet.
2.1 Propagación y entrega
2.1.1 Fuerza bruta
En el proceso de análisis del archivo whgj11.exe, se encontró un gran número de acciones de fuerza bruta en la muestra. La siguiente figura muestra el nombre de usuario y la contraseña encontrados durante el análisis inverso:
Una vez que la fuerza bruta tenga éxito, el atacante enviará los siguientes comandos de ataque al lado del pollo de engorde: apagar el firewall del sistema, descargar la herramienta DDoS a través del comando wget, ejecutar el archivo descargado y establecer la entrada de arranque de Linux.
2.1.2 Explotación de vulnerabilidades
En el proceso de análisis de whgj11.por ejemplo, encontramos no solo la acción de fuerza bruta, sino también un ataque contra los puertos 139 y 445 del objetivo explotando las vulnerabilidades de Eternal Blue + DoublePulsar. Una vez que el ataque es exitoso, se descargará la herramienta de ataque DDoS.
La siguiente figura muestra el tráfico de propagación de explotación enviado durante la ejecución de whgj11.exe:
El tráfico se analiza utilizando Pasivetotal, y se encontró un ataque que explota las vulnerabilidades de Eternal Blue + DoublePulsar.
Otros explotar las herramientas también están alojados en el C2 del servidor, como se muestra en la siguiente tabla:
|
nombre de Archivo |
Archivo papel o función |
|
1.zip |
Conjunto de herramientas para atacar el puerto CCAV 60001 |
|
ccav.zip |
El archivo zip contiene un gran número de conjuntos de herramientas para atacar el puerto CCAV 60001. Una vez que el ataque es exitoso, la herramienta DDoS se descarga desde C2 |
|
sc.zip |
Un conjunto de herramientas de escaneo de puertos llamado escáner de puertos personalizado qniaoge con la funcionalidad de crack y entrega |
|
gjb.rar |
Gjb.rar almacena una gran cantidad de herramientas de control remoto malintencionadas y herramientas de explotación que se utilizan para atacar principalmente a los usuarios de CCAV |
|
linghang.zip |
El archivo zip contiene muchas herramientas de exploits, como Eternal Blue, EternalRomance, DoublePulsar, que se utilizan para atacar principalmente puertos 139, 445, 3306 |
Una vez que el exploit es exitoso, el programa se propagará y llamará al archivo DLL para descargar la herramienta DDoS.
2.2 Ataques DDoS
Durante el análisis de Linuxwhgj, se descubrieron hasta 14 métodos de ataque DDoS, y descubrimos que se realizaron diferentes ataques DDoS de acuerdo con diferentes parámetros.
El parámetro de ataque tabla de correspondencias es como sigue:
|
DDoS método |
Parámetro |
Comentarios |
|
TCP_Flood |
0 |
No root permiso |
|
WZTCP_Flood |
0 |
Raíz permiso |
|
ICMP_Flood |
1 |
|
|
GETFT_Flood |
2 |
|
|
HEAD_Flood |
3 |
|
|
UDP_Flood |
4 |
|
|
SYN_Flood |
5 |
|
|
GET_Flood |
6 |
|
|
POST_Flood |
7 |
|
|
UDP_Flood |
8 |
No root permiso |
|
WZUDP_Flood |
8 |
Raíz permiso |
|
WZSYN_Flood |
9 |
|
|
ack_Flood |
10 |
|
|
xzcc_Flood |
11 |
2.3 Robar Datos
En el proceso de análisis de la muestra malintencionado whgj.exe, no solo se encontró la acción de control remoto, sino también un gran número de operaciones de base de datos MySQL, como se muestra en la siguiente figura:
Como se puede ver en la figura, hay palabras clave relacionadas con ventas y contabilidad, como BILLID, SALEBILL, SALEDETAIL, PAYDETAIL, sospechosas de ser utilizadas para robar información financiera corporativa.
3.1 Asociación de Comportamiento de la muestra
Durante el análisis de whgj11.exe, se encontró que whgj11.exe fue similar a la muestra utilizada por la botnet del Grupo Nitol después de desempaquetar. La siguiente figura es una comparación lógica de código entre la muestra que encontramos esta vez y una muestra conocida de botnet Nitol:
En comparación, se puede inferir que la red de bots descubierta esta vez es una rama de la red de bots Nitol, por lo que este artículo se llama así.
3.2 Servidor C2
En el proceso de análisis de muestras, la dirección C2 se puede confirmar como 112.73.93.25, que no se ha incluido en ninguna plataforma de información (antes de las 15:00 del 22 de agosto de 2018). Al consultar el Whois, se puede determinar que esta IP es de Eflycloud.
En la actualidad, los métodos de recarga de Eflycloud incluyen Alipay, WeChat, banca en línea y pago fuera de línea, en función de los cuales se puede apuntar a un atacante.
Además, los usuarios de Eflycloud deben proporcionar información sobre el número de teléfono móvil y el buzón durante el proceso de registro, lo que proporciona otra forma de atacar al atacante.
El personal de servicio al cliente de Eflycloud ya ha sido contactado, y el C2 servidor se ha cerrado y es actualmente inaccesible.
3.3 Conjunto de herramientas
El atacante en cuestión utilizó un gran número de herramientas de explotación y de control remoto, como se muestra en la siguiente tabla.
|
conjunto de herramientas de |
Funcionalidad |
|
JBOSS |
para atacar CCAV sistema |
|
ShadowBroker |
SMB explotar herramienta para la obtención de host remoto de shell permiso y la entrega maliciosa de la muestra de carga |
|
Taifeng DDOS |
Generar herramientas de ataque DDoS |
4 Análisis De Conclusión
El análisis de esta red de bots se resume a continuación:
1.Los controladores de redes de bots comunes implementarán el servicio C2 y el servicio de descarga de archivos en nodos diferentes, pero el servicio C2 y el servicio de descarga de archivos encontrados esta vez se alojan en el mismo nodo (112.73.93.251);
2.Las herramientas utilizadas por el controlador de botnet se han expuesto a la red y se pueden descargar y usar directamente. Después de descargar y analizar, encontramos que son herramientas de control remoto comunes;
3.Los controladores de redes de bots comunes ocultan la información de C2 y de registro mediante métodos como la compra del servicio de nombres de dominio, el algoritmo DGA. Pero el servicio C2 que se encuentra en este documento está alojado por un proveedor de servicios en la nube nacional.
Con base en el análisis anterior, se infiere lo siguiente:
1.La botnet es lanzada por un grupo individual o a pequeña escala sin experiencia, las herramientas utilizadas por la botnet son herramientas de control remoto comunes, es un ejemplo;
2.La verdadera identidad del controlador de botnet se puede obtener a través de la información de registro del proveedor de servicios en la nube nacional. El controlador de redes de bots crea rápidamente una red de bots para realizar pruebas a través de un proveedor de servicios en la nube nacional, sin tener demasiado en cuenta la privacidad de la propia red de bots.
5 Medidas De Protección
1.Bloquear C2 de acuerdo con la información del COI proporcionada en el apéndice y bloquear muestras maliciosas para que no entren en la empresa;
2.Instale el parche suministrado por el proveedor para corregir la vulnerabilidad o actualice el software a la última versión no vulnerable;
3.Si encuentra una muestra sospechosa de malicia, puede enviarla a Huawei Cloud Sandbox para su detección y tomar una decisión rápida en función del resultado de la detección;
4.It se recomienda implementar dispositivos habilitados para IPS para protegerse contra varios exploits.
Apéndice: COI
C2:112.73.93.251
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |