a közelmúltban a Huawei threat intelligence elemzői nagyszámú abnormális SSH brute force támadást fedeztek fel, és felfedeztek egy 9000+ broiler méretű botnetet, és a támadási eszközkészlet és a támadási folyamat nyomon követésével Nitol botnetként azonosították. A botnet bináris fordított elemzése és nyomonkövethetőségi kriminalisztikai elemzése révén a botnet vezérlő gazdagépe található, és a felhőszolgáltatóval kapcsolatba lépünk, és a botnet vezérlő gazdagépét leállítjuk.
a Nitol az egyik legaktívabb DDoS botnet. A Nitol család nyílt forráskódját a külföldi hackerek frissítették, módosították és használják, és a Nitol már több mint 10 különböző protokollváltozattal rendelkezik. Bár a Nitol család botnet eszközei más országokban is elterjedtek, elsősorban a háztartási berendezéseket fertőzi meg. Különösen az NSA Eternal Blue sebezhetőségének és a Structs2 sebezhetőségi sorozatának kitettségével fordul elő a különböző családok (beleértve a Nitol családot is) rosszindulatú kódjainak tömeges beültetése automatizált kihasználó eszközzel.
ez a cikk elsősorban a Nitol botnet elterjedési és diffúziós módját és funkcionalitását mutatja be, valamint előzetes bevezetést nyújt a botnet infrastruktúrájába és eszközeibe.
2 támadási mód elemzése
az ezúttal felfedezett Nitol botnet nemcsak a hagyományos brute force módszert használja, hanem számos kizsákmányoló eszközt is használ, például ShadowBroker, JBoss, MySql3306. A DDoS eszköz az ellenőrzés után a broilerhez kerül, a broiler vagy broiler csoport pedig rosszindulatú műveletek végrehajtására irányul. A teljes támadási folyamat a következő:
az elemzés során a C2 112.73.93.251 címet HFS szervernek (Http File Server) találták, amely nagyszámú rosszindulatú fájlt tárol, az alábbiak szerint:
ebben a tanulmányban a HFS által tárolt kulcsfontosságú rosszindulatú mintákat használják a botnet építési módszerének, funkcionalitásának és infrastruktúrájának elemzésére.
2,1 Spread és szállítás
2.1.1 Brute-force
a whgj11 fájl elemzésének folyamatában.exe, a mintában nagyszámú brute force műveletet találtak. Az alábbi ábra a fordított elemzés során talált felhasználónevet és jelszót mutatja:
miután a brute force sikeres volt, a támadó a következő támadási parancsokat küldi a broiler oldalra: állítsa le a rendszer tűzfalát, töltse le a DDoS eszközt a wget paranccsal, hajtsa végre a letöltött fájlt, és állítsa be a Linux boot bejegyzést.
2.1.2 sebezhetőség kihasználása
a whgj11 elemzésének folyamatában.exe, nem csak a brute force akciót találtuk, hanem egy támadást is a target 139 és 445 portjai ellen az Eternal Blue + DoublePulsar sebezhetőségének kihasználásával. Miután a támadás sikeres volt, a DDoS támadási eszköz letöltésre kerül.
az alábbi ábra a whgj11 futtatása során küldött kihasználó terjedési forgalmat mutatja.exe:
a forgalmat a PassiveTotal segítségével elemezték, és az Eternal Blue + DoublePulsar sebezhetőségét kihasználó támadást találtak.
más kihasználó eszközök is a C2 szerveren vannak tárolva, amint azt az alábbi táblázat mutatja:
|
fájlnév |
Fájl szerep vagy funkció |
|
1.zip |
eszközkészlet a CCAV 60001 port megtámadására |
|
ccav.zip |
a zip fájl számos eszközkészletet tartalmaz a CCAV 60001 port megtámadásához. Miután a támadás sikeres volt, a DDoS eszköz letöltésre kerül a C2-ből |
|
sc.zip |
a qniaoge custom port scanner nevű port-leolvasó eszközkészlet a repedés és a szállítás funkcionalitásával |
|
gjb.rar |
Gjb.a rar számos rosszindulatú távvezérlő eszközt és kihasználó eszközt tárol, amelyeket elsősorban a CCAV felhasználók támadására használnak |
|
linghang.zip |
a zip fájl sok kizsákmányoló eszközt tartalmaz, mint például az Eternal Blue, az EternalRomance, a DoublePulsar, amelyeket főleg portok támadására használnak 139, 445, 3306 |
miután a kizsákmányolás sikeres volt, a program propagálja és meghívja a DLL fájlt a DDoS eszköz letöltéséhez.
2.2 DDoS támadás
a Linuxwhgj elemzése során legfeljebb 14 DDoS támadási módszert fedeztek fel, és azt találtuk, hogy különböző DDoS támadásokat hajtottak végre különböző paraméterek szerint.
a támadási paraméter megfelelési táblázata a következő:
|
DDoS módszer |
paraméter |
Megjegyzések |
|
TCP_Flood |
0 |
nem root engedély |
|
WZTCP_Flood |
0 |
Root engedély |
|
ICMP_Flood |
1 |
|
|
GETFT_Flood |
2 |
|
|
Fejár |
3 |
|
|
UDP_Flood |
4 |
|
|
SYN_Flood |
5 |
|
|
GET_Flood |
6 |
|
|
POST_Flood |
7 |
|
|
UDP_Flood |
8 |
nem root engedély |
|
WZUDP_Flood |
8 |
Root engedély |
|
WZSYN_Flood |
9 |
|
|
ack_Flood |
10 |
|
|
xzcc_Flood |
11 |
2.3 adatok ellopása
a rosszindulatú minta whgj elemzésének folyamatában.exe, nem csak a távirányító műveletet, hanem számos MySQL adatbázis műveletet is találtak, amint az az alábbi ábrán látható:
amint az az ábrán látható, vannak olyan értékesítési és számviteli kulcsszavak, mint például a BILLID, SALEBILL, SALEDETAIL, PAYDETAIL, amelyek feltételezhetően vállalati pénzügyi információk ellopására szolgálnak.
3,1 Minta viselkedési társulás
a whgj11 elemzése során.exe, azt találták, hogy whgj11.az exe hasonló volt a Nitol csoport botnet által használt mintához kicsomagolás után. A következő ábra egy kódlogikai összehasonlítás az ezúttal talált minta és egy ismert Nitol botnet minta között:
összehasonlításképpen arra lehet következtetni, hogy az ezúttal felfedezett botnet a Nitol botnet egyik ága, ezért nevezték el ezt a papírt.
3.2 C2 szerver
a mintaelemzés folyamatában a C2 címet 112.73.93.25-ként lehet megerősíteni, amely nem szerepel semmilyen információs platformon (15:00, augusztus 22, 2018 előtt). A Whois lekérdezésével megállapítható, hogy ez az IP az Eflycloud-tól származik.
jelenleg az Eflycloud feltöltési módszerei közé tartozik az Alipay, a WeChat, az online banki és az offline fizetés, amelyek alapján a támadó megcélozható.
ezenkívül az Eflycloud felhasználóinak meg kell adniuk a mobiltelefonszámot és a postaláda adatait a regisztrációs folyamat során, ami egy másik módot kínál a támadó megcélzására.
az Eflycloud ügyfélszolgálati munkatársaival már felvettük a kapcsolatot, és a C2 szerver leállt, és jelenleg nem érhető el.
3.3 eszközkészlet
az érintett támadó számos exploit eszközt és távvezérlő eszközt használt, amint az az alábbi táblázatban látható.
|
szerszámkészlet |
funkcionalitás |
|
JBOSS |
a CCAV rendszer megtámadására |
|
ShadowBroker |
SMB exploit eszköz a távoli host shell engedély megszerzéséhez és a rosszindulatú minta hasznos teher szállításához |
|
Taifeng DDOS |
DDoS támadási eszközök létrehozása |
4 elemzési következtetés
a botnet elemzése a következőképpen foglalható össze:
1.A közös botnet-vezérlők különböző csomópontokon telepítik a C2 szolgáltatást és a fájlletöltési szolgáltatást, de az ezúttal talált C2 szolgáltatás és fájlletöltési szolgáltatás ugyanazon a csomóponton található (112.73.93.251);
2.A botnet vezérlő által használt eszközök ki vannak téve a hálózatnak, és közvetlenül letölthetők és használhatók. Letöltés és elemzés után azt találjuk, hogy ezek a közös távirányító eszközök;
3.A szokásos botnet vezérlők elrejtik a C2 és a regisztrációs információkat olyan módszerekkel, mint a domain név szolgáltatás megvásárlása, a DGA algoritmus. De az ebben a cikkben található C2 szolgáltatást a hazai felhőszolgáltató üzemelteti.
a fenti elemzés alapján a következőkre következtetünk:
1.A botnetet egyéni vagy kis léptékű csoport indítja el gazdag tapasztalat nélkül, a botnet által használt eszközök közös távvezérlő eszközök egy példa;
2.A botnet vezérlő valódi identitása a hazai felhőszolgáltató regisztrációs adatain keresztül szerezhető be. A botnet vezérlő gyorsan felépít egy botnetet tesztelésre egy hazai felhőszolgáltatón keresztül, anélkül, hogy túlságosan figyelembe venné magának a botnetnek a magánéletét.
5 Óvintézkedések
1.C2 blokk a függelékben megadott NOB-információk szerint, és blokkolja a rosszindulatú minták bejutását a vállalkozásba;
2.Telepítse a gyártó által szállított javítást a biztonsági rés kijavításához, vagy frissítse a szoftvert a legújabb, nem sérülékeny verzióra;
3.Ha gyanús rosszindulatú mintát talál, elküldheti a Huawei Cloud Sandboxba észlelés céljából, és az észlelési eredmény alapján gyors döntést hozhat;
4.It ajánlott telepíteni IPS-kompatibilis eszköz elleni védelem különböző hasznosítja.
függelék: NOB
C2 612.73.93.251
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |