Récemment, les analystes de Huawei Threat intelligence ont découvert un grand nombre d’attaques par force brute SSH anormales et ont découvert un botnet contrôlant une taille de poulet de chair de 9000+ et l’ont identifié comme un botnet Nitol grâce à l’analyse de suivi de l’ensemble d’outils d’attaque et du processus d’attaque. Grâce à l’analyse inverse binaire et à l’analyse médico-légale de traçabilité du botnet, l’hôte de contrôle du botnet est localisé, le fournisseur de services cloud est contacté et l’hôte de contrôle du botnet est arrêté.
Nitol est l’un des réseaux de zombies DDoS les plus actifs. Le code source ouvert de la famille Nitol a été mis à niveau, modifié et utilisé par des pirates étrangers, et Nitol a déjà plus de 10 variantes de protocoles différents. Bien que les outils de botnet de la famille Nitol se soient répandus dans d’autres pays, ils infectent principalement l’équipement domestique. Surtout avec l’exposition de la vulnérabilité Eternal Blue de la NSA et de la série de vulnérabilités Structs2, l’incident d’implantation en masse de code malveillant de diverses familles (famille Nitol incluse) via un outil d’exploit automatisé se produit.
Cet article présente principalement le mode de propagation et de diffusion et la fonctionnalité du botnet Nitol, et fournit une introduction préliminaire à l’infrastructure et aux outils du botnet.
2 Analyse du mode d’attaque
Le botnet Nitol découvert cette fois utilise non seulement la méthode traditionnelle de la force brute, mais utilise également un grand nombre d’outils d’exploit, tels que ShadowBroker, JBoss, MySql3306. L’outil DDoS est livré au poulet de chair après avoir été contrôlé, et le poulet de chair ou le groupe de poulets de chair est contrôlé pour effectuer des actions malveillantes. Le processus d’attaque global est le suivant:
Lors de l’analyse, l’adresse C2 112.73.93.251 s’est avérée être un serveur HFS (serveur de fichiers Http), hébergeant un grand nombre de fichiers malveillants, comme indiqué ci-dessous:
Dans cet article, les échantillons malveillants clés hébergés par HFS sont utilisés comme indices pour analyser la méthode de construction, les fonctionnalités et l’infrastructure du botnet.
2.1 Propagation et livraison
2.1.1 Force brute
En cours d’analyse du fichier whgj11.exe, un grand nombre d’actions de force brute ont été trouvées dans l’échantillon. La figure suivante montre le nom d’utilisateur et le mot de passe trouvés lors de l’analyse inverse:
Une fois la force brute réussie, l’attaquant enverra les commandes d’attaque suivantes au côté du poulet de chair: arrêtez le pare-feu système, téléchargez l’outil DDoS via la commande wget, exécutez le fichier téléchargé et définissez l’entrée de démarrage Linux.
2.1.2 Exploitation de la vulnérabilité
En cours d’analyse de whgj11.exe, nous avons trouvé non seulement l’action de force brute, mais aussi une attaque contre les ports 139 et 445 de target en exploitant les vulnérabilités Eternal Blue + DoublePulsar. Une fois l’attaque réussie, l’outil d’attaque DDoS sera téléchargé.
La figure suivante montre le trafic de propagation d’exploitation envoyé pendant l’exécution de whgj11.EXE:
Le trafic est analysé à l’aide de PassiveTotal, et une attaque exploitant les vulnérabilités Eternal Blue + DoublePulsar a été trouvée.
D’autres outils d’exploitation sont également hébergés sur le serveur C2, comme indiqué dans le tableau suivant:
|
Nom du fichier |
Rôle ou fonction du fichier |
|
1.zip |
Ensemble d’outils pour attaquer le port CCAV 60001 |
|
ccav.zip |
Le fichier zip contient un grand nombre d’outils pour attaquer le port CCAV 60001. Une fois l’attaque réussie, l’outil DDoS est téléchargé à partir de C2 |
|
sc.zip |
Un ensemble d’outils d’analyse de port nommé scanner de port personnalisé qniaoge avec la fonctionnalité de fissure et de livraison |
|
gjb.rar |
Gjb.rar stocke un grand nombre d’outils de contrôle à distance malveillants et d’outils d’exploitation utilisés pour attaquer principalement les utilisateurs de CCAV |
|
linghang.zip |
Le fichier zip contient de nombreux outils d’exploit, tels que Eternal Blue, EternalRomance, DoublePulsar, qui sont utilisés pour attaquer principalement les ports 139, 445, 3306 |
Une fois l’exploit réussi, le programme se propage et appelle le fichier DLL pour télécharger l’outil DDoS.
2.2 Attaques DDoS
Lors de l’analyse de Linuxwhgj, jusqu’à 14 méthodes d’attaque DDoS ont été découvertes et nous avons constaté que différentes attaques DDoS étaient effectuées en fonction de différents paramètres.
La table de correspondance des paramètres d’attaque est la suivante:
|
Méthode DDoS |
Paramètre |
Remarques |
|
TCP_Flood |
0 |
Autorisation non root |
|
WZTCP_Flood |
0 |
Autorisation Root |
|
ICMP_Flood |
1 |
|
|
GETFT_Flood |
2 |
|
|
Feu de tête |
3 |
|
|
UDP_Flood |
4 |
|
|
SYN_Flood |
5 |
|
|
GET_Flood |
6 |
|
|
POST_Flood |
7 |
|
|
UDP_Flood |
8 |
Autorisation non root |
|
WZUDP_Flood |
8 |
Autorisation Root |
|
WZSYN_Flood |
9 |
|
|
ack_Flood |
10 |
|
|
xzcc_Flood |
11 |
2.3 Voler des données
Dans le processus d’analyse de l’échantillon malveillant whgj.exe, non seulement l’action de contrôle à distance, mais aussi un grand nombre d’opérations de base de données MySQL ont été trouvées, comme le montre la figure suivante:
Comme on peut le voir sur la figure, il existe des mots clés liés aux ventes et à la comptabilité, tels que BILLID, SALEBILL, SALEDETAIL, PAYDETAIL, soupçonnés d’être utilisés pour voler des informations financières d’entreprise.
3.1 Association du comportement de l’échantillon
Lors de l’analyse de whgj11.exe, il a été constaté que whgj11.exe était similaire à l’échantillon utilisé par le botnet du groupe Nitol après le déballage. La figure suivante est une comparaison logique de code entre l’échantillon que nous avons trouvé cette fois-ci et un échantillon de botnet Nitol connu:
En comparaison, on peut déduire que le botnet découvert cette fois est une branche du botnet Nitol, c’est pourquoi cet article est ainsi nommé.
Serveur 3.2 C2
Dans le processus d’analyse de l’échantillon, l’adresse C2 peut être confirmée comme 112.73.93.25, qui n’a été incluse dans aucune plate-forme d’information (avant le 22 août 2018 à 15h00). En interrogeant le Whois, il peut être déterminé que cette adresse IP provient d’Eflycloud.
À l’heure actuelle, les méthodes de recharge d’Eflycloud incluent Alipay, WeChat, les services bancaires en ligne et le paiement hors ligne, sur la base desquels un attaquant peut être ciblé.
En outre, les utilisateurs d’Eflycloud doivent fournir des informations sur le numéro de téléphone mobile et la boîte aux lettres lors du processus d’inscription, ce qui fournit un autre moyen de cibler l’attaquant.
Le personnel du service client d’Eflycloud a déjà été contacté, et le serveur C2 a été arrêté et est actuellement inaccessible.
3.3 Jeu d’outils
L’attaquant concerné a utilisé un grand nombre d’outils d’exploitation et d’outils de contrôle à distance, comme indiqué dans le tableau suivant.
|
Ensemble d’outils |
Fonctionnalité |
|
JBOSS |
pour attaquer le système CCAV |
|
Agent d’ombre |
Outil d’exploitation SMB pour obtenir l’autorisation de shell d’hôte distant et fournir un exemple de charge utile malveillante |
|
DDOS DE Taifeng |
Générer des outils d’attaque DDoS |
4 Conclusion de l’analyse
L’analyse de ce botnet est résumée comme suit:
1.Les contrôleurs de botnet communs déploieront le service C2 et le service de téléchargement de fichiers sur différents nœuds, mais le service C2 et le service de téléchargement de fichiers trouvés cette fois sont hébergés sur le même nœud (112.73.93.251);
2.Les outils utilisés par le contrôleur de botnet ont été exposés au réseau et peuvent être téléchargés et utilisés directement. Après téléchargement et analyse, nous les trouvons être des outils de contrôle à distance courants;
3.Les contrôleurs de botnet courants masquent les informations C2 et d’enregistrement par des méthodes telles que l’achat d’un service de nom de domaine, l’algorithme DGA. Mais le service C2 trouvé dans cet article est hébergé par un fournisseur de services cloud domestique.
Sur la base de l’analyse ci-dessus, on déduit ce qui suit:
1.Le botnet est lancé par un groupe individuel ou à petite échelle sans expérience riche, les outils utilisés par le botnet sont des outils de contrôle à distance courants en est un exemple;
2.La véritable identité du contrôleur de botnet peut être obtenue via les informations d’enregistrement du fournisseur de services cloud domestique. Le contrôleur de botnet construit rapidement un botnet à tester via un fournisseur de services cloud domestique, sans trop de considération pour la confidentialité du botnet lui-même.
5 Mesures de protection
1.Bloquer C2 selon les informations du CIO fournies dans l’annexe et empêcher les échantillons malveillants d’entrer dans l’entreprise;
2.Installez le correctif fourni par le fournisseur pour corriger la vulnérabilité ou mettez à niveau le logiciel vers la dernière version non vulnérable;
3.Si vous trouvez un échantillon malveillant suspecté, vous pouvez le soumettre à Huawei Cloud Sandbox pour détection et prendre une décision rapide en fonction du résultat de la détection ;
4.It il est recommandé de déployer un périphérique compatible IPS pour se protéger contre divers exploits.
Annexe: COI
C2:112.73.93.251
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |