äskettäin Huawei threat intelligence-analyytikot löysivät suuren määrän poikkeavia SSH brute force-hyökkäyksiä ja löysivät botnetin, joka kontrolloi broilerin kokoa 9000+ ja tunnistivat sen Nitol-botnetiksi hyökkäystyökalusarjan ja hyökkäysprosessin seuranta-analyysin avulla. Bottiverkon käänteisen binäärianalyysin ja jäljitettävyyden avulla löydetään bottiverkon ohjausisäntä ja otetaan yhteyttä pilvipalvelun tarjoajaan ja suljetaan bottiverkon ohjausisäntä.
Nitol on yksi aktiivisimmista DDoS-bottiverkoista. Nitol-perheen avointa lähdekoodia ovat päivittäneet, muokanneet ja käyttäneet ulkomaiset hakkerit, ja Nitolilla on jo yli 10 eri protokollavaihtoehtoa. Vaikka Nitolin perheen bottiverkkotyökalut ovat levinneet muihin maihin, se tarttuu lähinnä kotimaisiin laitteisiin. Erityisesti NSA: n Eternal Blue-haavoittuvuuden ja Structs2-haavoittuvuussarjan paljastumisen myötä tapahtuu tapaus, jossa eri perheiden (Nitol-perhe mukaan lukien) haitallinen koodi istutetaan automaattisen hyväksikäyttötyökalun kautta.
tässä asiakirjassa esitellään lähinnä nitolibotnetin leviäminen-ja diffuusiotilaa ja toiminnallisuutta sekä esitellään alustavasti bottiverkon infrastruktuuria ja työkaluja.
2 Hyökkäystilan analyysi
tällä kertaa löydetty Nitol-bottiverkko ei ainoastaan käytä perinteistä brute force-menetelmää, vaan käyttää myös suurta määrää hyödyntämistyökaluja, kuten ShadowBroker, JBoss, MySql3306. DDoS-työkalu toimitetaan broilerille sen jälkeen, kun sitä on ohjattu, ja broileria tai broileriryhmää ohjataan tekemään haitallisia toimia. Yleinen hyökkäys prosessi on seuraava:
analysoitaessa C2-osoite 112.73.93.251 todettiin HFS-palvelimeksi (Http-tiedostopalvelin), joka isännöi suurta määrää haitallisia tiedostoja, kuten alla on esitetty.:
tässä asiakirjassa HFS: n ylläpitämiä keskeisiä haittaohjelmanäytteitä käytetään johtolankoina botnetin rakentamismenetelmän, toiminnallisuuden ja infrastruktuurin analysointiin.
2. 1 leviäminen ja synnytys
2.1.1 Brute-force
analysoitaessa tiedostoa whgj11.exe: n mukaan näytteestä löytyi suuri määrä raakoja voimatoimia. Seuraavassa kuvassa näkyy käänteisen analyysin aikana löytynyt käyttäjätunnus ja salasana:
kun brute force on onnistunut, hyökkääjä lähettää seuraavat hyökkäyskomennot broilerin puolelle: Sammuta järjestelmän palomuuri, lataa DDoS-työkalu wget-komennon kautta, suorita ladattu tiedosto ja aseta Linux boot entry.
2.1.2 haavoittuvuuden hyväksikäyttö
analysoitaessa whgj11: tä.exe, löysimme paitsi brute force Actionin, myös hyökkäyksen Targetin 139 ja 445 portteja vastaan hyödyntämällä Eternal Blue + DoublePulsar-haavoittuvuuksia. Kun hyökkäys on onnistunut, DDoS-hyökkäystyökalu Ladataan.
seuraavassa kuvassa näkyy whgj11: n ajon aikana lähetetty hyödyntävä etenemisliikenne.exe:
liikennettä analysoidaan Passivetotalin avulla, ja Eternal Blue + DoublePulsar-haavoittuvuuksia hyödyntävä hyökkäys löytyi.
C2-palvelimella on myös muita exploit-työkaluja, kuten seuraavassa taulukossa on esitetty:
|
tiedostonimi |
tiedoston rooli tai toiminto |
|
1.zip |
työkalu asetettu hyökkäämään CCAV 60001-porttiin |
|
ccav.zip |
zip-tiedosto sisältää suuren määrän työkalusarjoja hyökkäämään CCAV 60001-porttia vastaan. Kun hyökkäys on onnistunut, DDoS-työkalu Ladataan C2: sta |
|
sc.zip |
porttiskannaustyökalusarja nimeltä qniaoge custom port scanner, jossa on halkeaman ja toimituksen toiminnallisuus |
|
gjb.rar |
Gjb.rar tallentaa suuren määrän haitallisia etäohjaustyökaluja ja hyödyntää työkaluja, joita käytetään hyökkäämään pääasiassa CCAV-käyttäjille |
|
linghang.zip |
zip-tiedosto sisältää paljon hyväksikäyttötyökaluja, kuten Eternal Blue, EternalRomance, DoublePulsar, joita käytetään hyökkäämään pääasiassa satamiin 139, 445, 3306 |
kun hyödyntää on onnistunut, ohjelma levittää ja soittaa DLL tiedosto ladata DDoS työkalu.
2.2 DDoS hyökkäys
Linuxwhgj: n analyysin aikana löydettiin jopa 14 DDoS-hyökkäysmenetelmää, ja huomasimme, että erilaisia DDoS-hyökkäyksiä tehtiin eri parametrien mukaan.
hyökkäys parametri vastaavuustaulukko on seuraava:
|
DDoS-menetelmä |
parametri |
huomautukset |
|
TCP_Flood |
0 |
Ei pääkäyttäjän oikeuksia |
|
WZTCP_Flood |
0 |
Juurioikeus |
|
ICMP_Flood |
1 |
|
|
GETFT_Flood |
2 |
|
|
HEAD_Flood |
3 |
|
|
Udp_levy |
4 |
|
|
SYN_Flood |
5 |
|
|
GET_Flood |
6 |
|
|
POST_Flood |
7 |
|
|
Udp_levy |
8 |
Ei pääkäyttäjän oikeuksia |
|
WZUDP_Flood |
8 |
Juurioikeus |
|
WZSYN_Flood |
9 |
|
|
ack_Flood |
10 |
|
|
xzcc_Flood |
11 |
2.3 Steal Data
in the process of analysing the malicant sample whgj.exe, ei vain kaukosäätimen toimintaa, mutta myös suuri määrä MySQL-tietokantaoperaatioita löydettiin, kuten seuraavassa kuvassa:
kuten luvusta käy ilmi, on olemassa myyntiin ja kirjanpitoon liittyviä avainsanoja, kuten BILLID, SALEBILL, SALEDETAIL, PAYDETAIL, joita epäillään käytetyn yritysten taloudellisten tietojen varastamiseen.
3.1 näytteen Käyttäytymisyhdistelmä
whgj11: n analyysin aikana.exe, todettiin, että whgj11.exe oli samanlainen kuin Nitoliryhmän botnetin käyttämä näyte purkamisen jälkeen. Seuraava luku on koodilogiikan vertailu tällä kertaa löytämämme näytteen ja tunnetun Nitol-botnet-näytteen välillä:
vertailun vuoksi voidaan päätellä, että tällä kertaa löydetty bottiverkko on Nitolibotnetin haara, minkä vuoksi tämä paperi on niin nimetty.
3.2 C2-palvelin
näytteiden analysoinnissa C2-osoite voidaan vahvistaa numeroksi 112.73.93.25, jota ei ole sisällytetty mihinkään tietoalustaan (ennen 15:00, 22.elokuuta 2018). Whois: n kyselyllä voidaan päätellä, että tämä IP on peräisin Eflycloudilta.
tällä hetkellä Eflyloudin lataustapoja ovat Alipay, WeChat, verkkopankki ja offline-maksaminen, joiden perusteella hyökkääjä voidaan kohdistaa.
lisäksi Eflyloudin käyttäjien on annettava matkapuhelinnumero-ja postilaatikkotiedot rekisteröintiprosessin aikana, mikä tarjoaa toisen tavan kohdistaa hyökkääjä.
Eflyloudin asiakaspalveluhenkilökuntaan on jo oltu yhteydessä, ja C2-palvelin on suljettu ja on tällä hetkellä saavuttamattomissa.
3.3 työkalusarja
kyseinen hyökkääjä käytti suurta määrää exploit-työkaluja ja kauko-ohjattavia työkaluja, kuten seuraavasta taulukosta käy ilmi.
|
työkalusarja |
toiminnallisuus |
|
JBOSS |
CCAV-järjestelmän hyökkäämiseen |
|
ShadowBroker |
SMB hyödyntää työkalu saada etäpalvelin shell lupaa ja tuottaa haitallisia näytteen hyötykuorma |
|
Taifeng DDOS |
luo DDoS-hyökkäystyökaluja |
4 analyysin johtopäätös
tämän bottiverkon analyysi on tiivistetty seuraavasti:
1.Yhteiset botnet-ohjaimet ottavat käyttöön C2-palvelun ja tiedostojen latauspalvelun eri solmuissa, mutta tällä kertaa löydetyt C2-palvelu ja tiedostojen latauspalvelu isännöidään samalla solmulla (112.73.93.251);
2.Botnet-ohjaimen käyttämät työkalut ovat paljastuneet verkkoon, ja niitä voi ladata ja käyttää suoraan. Lataamisen ja analysoinnin jälkeen havaitsemme ne yleisiksi kaukosäätimen työkaluiksi;
3.Yhteiset botnet-ohjaimet piilottavat C2-ja rekisteröintitiedot menetelmillä, kuten ostamalla verkkotunnuspalvelun, DGA-algoritmin. Mutta tästä paperista löytyvää C2-palvelua isännöi kotimainen pilvipalvelujen tarjoaja.
edellä esitetyn analyysin perusteella voidaan päätellä seuraavaa:
1.Bottiverkon käynnistää yksittäinen tai pienimuotoinen ryhmä ilman runsasta kokemusta, bottiverkon käyttämät työkalut ovat yleisiä etäohjaustyökaluja on esimerkki;
2.Botnet-ohjaimen todellisen henkilöllisyyden voi saada kotimaisen pilvipalveluntarjoajan rekisteröintitietojen kautta. Botnet-ohjain rakentaa nopeasti bottiverkon testausta varten kotimaisen pilvipalveluntarjoajan kautta, ilman että itse bottiverkon yksityisyys on liikaa huomioitu.
5 Suojatoimenpiteet
1.Lohko C2 liitteessä esitettyjen IOC: n tietojen mukaisesti ja estä haitallisten näytteiden pääsy yritykseen;
2.Asenna toimittajan toimittama korjaus haavoittuvuuden korjaamiseksi tai päivitä ohjelmisto uusimpaan ei-haavoittuvaan versioon;
3.Jos löydät epäillyn haitallisen näytteen, voit lähettää sen Huawei Cloud Sandboxiin tunnistettavaksi ja tehdä nopean päätöksen tunnistustuloksen perusteella;
4.It is suosittelee ottamaan IPS-yhteensopivan laitteen käyttöön suojautuakseen erilaisilta hyväksikäytöiltä.
liite: IOC
C2251
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |