Nitol Botnet Analysis Report

Written by on in Articles

最近、Huawei threat intelligenceのアナリストは、多数の異常なSSHブルートフォース攻撃を発見し、9000+のブロイラーサイズを制御するボットネットを発見し、攻撃ツールセットと攻撃プロセスの追跡分析を通じてNitol botnetであることを特定しました。 ボットネットのバイナリ逆解析とトレーサビリティ法医学分析を通じて、ボットネットの制御ホストが配置され、クラウドサービスプロバイダーが連絡され、ボットネットの制御ホストがシャットダウンされます。

Nitolは最も活発なDDoSボットネットの一つです。 Nitolファミリーのオープンソースコードは、外国のハッカーによってアップグレード、変更、使用されており、Nitolにはすでに10種類以上の異なるプロトコルがあります。 Nitolファミリーのボットネットツールは他の国にも広がっていますが、主に国内の機器に感染しています。 特に、NSAのエターナルブルーの脆弱性とStructs2シリーズの脆弱性の暴露により、自動エクスプロイトツールを介して様々なファミリ(Nitolファミリを含む)の悪意のあるコードを一括移植する事件が発生します。

本稿では、主にNitolボットネットの拡散と拡散モードと機能を紹介し、ボットネットのインフラとツールについての予備的な紹介を提供します。

2攻撃モード分析

今回発見されたNitolボットネットは、従来のブルートフォース法を使用するだけでなく、ShadowBroker、JBoss、Mysql3306などの多数のエクスプロイトツールを使用しています。 DDoSツールは制御された後にブロイラーに配信され、ブロイラーまたはブロイラーグループは悪意のあるアクションを実行するように制御されます。 全体的な攻撃プロセスは次のとおりです:

分析中、C2アドレス112.73.93.251は、以下に示すように、多数の悪意のあるファイルをホストしているHFSサーバー(Httpファイルサーバー)であることが判明しました:

本稿では,hfsがホストする主要な悪意のあるサンプルを,ボットネットの構築方法,機能およびインフラストラクチャを分析する手がかりとして用いた。

2.1スプレッドとデリバリ

2.1.1 ブルートフォース

ファイルwhgj11を分析する過程で。exe、ブルートフォースのアクションの多数は、サンプルで発見されました。 次の図は、逆解析中に検出されたユーザー名とパスワードを示しています:

ブルートフォースが成功すると、攻撃者はブロイラー側に次の攻撃コマンドを送信します。システムファイアウォールをシャットダウンし、Wgetコマンドを使用してDDoSツールをダウンロードし、ダウンロードしたファイルを実行し、Linuxブートエントリを設定します。

2.1.2whgj11を分析する過程で脆弱性が悪用される

。exeは、ブルートフォース動作だけでなく、Eternal Blue+DoublePulsarの脆弱性を悪用して、ターゲットの139ポートと445ポートに対する攻撃も発見しました。 攻撃が成功すると、DDoS攻撃ツールがダウンロードされます。

次の図は、whgj11の実行中に送信された伝播トラフィックの悪用を示しています。exe:

トラフィックはPassiveTotalを使用して分析され、Eternal Blue+DoublePulsar脆弱性を悪用した攻撃が見つかりました。

次の表に示すように、他のエクスプロイトツールもC2サーバーでホストされています:

ファイル名

ファイルの役割または機能

1.ジップ

CCAV60001ポートを攻撃するツールセット

ccav。ジップ

zipファイルには、CCAV60001ポートを攻撃するための多数のツールセットが含まれています。 攻撃が成功すると、DDoSツールがC2からダウンロードされます

sc。ジップ

クラックと配信の機能を備えたqniaogeカスタムポートスキャナという名前のポートスキャンツールセット

gjb.rar

Gjb.rarには、主にCCAVユーザーを攻撃するために使用される多数の悪意のあるリモートコントロールツールと悪用ツールが格納されています

リンハンジップ

zipファイルには、主にポートを攻撃するために使用されるEternal Blue、EternalRomance、DoublePulsarなどの多くのエクスプロイトツールが含まれています139, 445, 3306

悪用が成功すると、プログラムは伝播し、DLLファイルを呼び出してDDoSツールをダウンロードします。

2.2DDoS攻撃

Linuxwhgjの分析中に、最大14のDDoS攻撃方法が発見され、異なるパラメータに従って異なるDDoS攻撃が実行されたことがわかりました。

攻撃パラメータ対応表は以下の通りです:

DDoS方式

パラメータ

備考

Tcp_Flood

0

非root権限

Wztcp_Flood

0

Root権限

Icmp_Flood

1

を取得してください。

2

3

Udp_Flood

4

Syn_Flood

5

Get_Flood

6

Post_Flood

7

Udp_Flood

8

非root権限

8

Root権限

Wzsyn_Flood

9

ack_flood

10

xzcc_flood

11

2.3 悪意のあるサンプルwhgjを分析する過程で、データ

を盗みます。exeは、リモートコントロールアクションだけでなく、次の図に示すように、多数のMySQLデータベース操作も見つかりました:

図に見られるように、BILLID、SALEBILL、SALEDETAIL、PAYDETAILなどの販売および会計関連のキーワードがあり、企業の財務情報を盗むために使用されている疑いがあります。

3.1whgj11の分析中のサンプル行動関連

。exeが、whgj11であることが判明した。exeは、解凍後にニトール群のボットネットで使用されたサンプルと同様であった。 次の図は、今回見つかったサンプルと既知のNitol botnetサンプルのコードロジックの比較です:

比較すると、今回発見されたボットネットはNitolボットネットの枝であることが推測できるため、この論文がそのように命名されています。

3.2C2サーバー

サンプル分析の過程で、C2アドレスは112.73.93.25として確認でき、これはどの情報プラットフォームにも含まれていません(2018年8月22日15:00 Whoisを照会することによって、このIPがEflycloudからのものであると判断することができる。

現在、Eflycloudの充電方法には、Alipay、WeChat、オンラインバンキング、オフライン支払いが含まれており、それに基づいて攻撃者を標的にすることができます。

さらに、Eflycloudのユーザーは、登録プロセス中に携帯電話番号とメールボックス情報を提供する必要があり、攻撃者をターゲットにする別の方法を提供します。

Eflycloudの顧客サービススタッフはすでに連絡を受けており、C2サーバーはシャットダウンされており、現在アクセスできません。

3.3ツールセット

関係する攻撃者は、次の表に示すように、多数の悪用ツールとリモートコントロールツールを使用しました。

工具セット

機能性

JBOSS

CCAVシステムを攻撃するため

シャドウブローカー

リモートホストシェルのアクセス許可を取得し、悪意のあるサンプルペイロードを配信するためのSMBエクスプロイトツール

泰峰

DDoS攻撃ツールの生成

4 分析結論

このボットネットの分析は以下のように要約されています:

1.共通のボットネットコントローラーは、C2サービスとファイルダウンロードサービスを異なるノードに展開しますが、今回見つかったC2サービスとファイルダウ(112.73.93.251);

2.ボットネットコントローラで使用されるツールはネットワークに公開されており、ダウンロードして直接使用できます。

3.一般的なボットネットコントローラは、ドメインネームサービスの購入、DGAアルゴリズムなどの方法でc2と登録情報を非表示にします。 しかし、この論文で見つかったC2サービスは、国内のクラウドサービスプロバイダによってホストされています。

上記の分析に基づいて、

1が推測されます。ボットネットは、豊富な経験のない個人や小規模なグループによって起動され、ボットネットで使用されるツールは、一般的なリモートコントロールツールが一例であり、

2。ボットネットコントローラの正体は、国内のクラウドサービスプロバイダーの登録情報を介して取得できます。 ボットネットコントローラは、ボットネット自体のプライバシーをあまり考慮せずに、国内のクラウドサービスプロバイダーを通じてテストするためのボットネットを迅速に構築します。

5 保護対策

1.付録に記載されているIOC情報に従ってc2をブロックし、悪意のあるサンプルが企業に入るのをブロックします。

2。ベンダー提供のパッチをインストールして脆弱性を修正するか、ソフトウェアを脆弱でない最新のバージョンにアップグレードします;

3.疑わしい悪意のあるサンプルを見つけた場合は、検出のためにHuawei Cloud Sandboxに送信し、検出結果に基づいて迅速な決定を下すことができます。

4.It さまざまな悪用から保護するためにIPS対応デバイスを展開することをお勧めします。

付録:IOC

C2:112.73.93.251

HASH:

MD5

File name

2A37CD3C473F56C8F4BDD82716C5EDA9

tfwhgj99

9FE7DDB7FDBB4BD520527A702C7D35B8

whgj.exe

0760A60775C5A5D25D88DEF463E24719

whgj11.exe

3CDC1A44AD4B56BA9F0793CE78D6EA64

whgj88

C5F1F46F162D4A90EC3B65E81E8AA2E7

whgjarm

3CDC1A44AD4B56BA9F0793CE78D6EA64

whgjj

335F76103FCF36B86A67C8C69AFC7F9C

whgjlh

335F76103FCF36B86A67C8C69AFC7F9C

whgjlinux

CCB54FDB25DC08C4B34D39E0743ED966

x64.dll

E277F5D9B7A2A26D552D7834B3471B3E

x86.dll

335F76103FCF36B86A67C8C69AFC7F9C

tfwhgj

229A9FF02918F3CEA0B433B180BB42DC

linuxwhgj

6CF1B0B2E141B2B30D842F2E135251D8

hfs.exe

ED790D2C16E1F23281C978B970F4C79F

DHLDAT.dat

6AD308064B0DB1AE4504D79C91594475

4.dll

7C5E5E15F7C2610E6E42D4A9C255373F

1.jpg

956958B308193D9F064D49F13A4D1EE1

s.dll

80EA576747189219AD4870B541AE75FC

start.bat

5A1A3ABF4808E5531E3A8D77EF90B177

监听.exe

C332C484C19F8ABD2F4744446CCD1E2C

GL.exe

8EE0551E965D07AF7B84E1FEE2609A14

Conn.asp

97650B0F94964EEFF41C3C7AD9E5F979

getinfs.asp

FDFC0B710FBC66493347E8B155D46557

mdb.ASP

B5265F86A8C0D8D065DE35B06F1FCAE5

Password.asp

BB1E7F070125F79AF3DBA2FA16B18593

addRead.asp

5D3AE9011FD70BC41BA4981103BBE544

Computer.asp

F632AF68AA268EA3577A978C6607503C

ts.exe

E4B9A1464DB41B0AFDF28FA03FA3B7C7

端口添加.bat

0B75A3D1C43E32C09928AE74FAD4F7E8

千鸟阁网络端口自定义扫描器.bat

1ABE570E5A3BD27BCADE41C0BE4E6FD5

s.exe

E30D66BE8DDF31F44BB66B8C3EA799AE

Esteemaudittouch-2.1.0.exe

8C80DD97C37525927C1E549CB59BCBF3

Eternalblue-2.2.0.exe

D2FB01629FA2A994FBD1B18E475C9F23

Eternalchampion-2.0.0.exe

C24315B0585B852110977DACAFE6C8C1

Doublepulsar-1.3.1.exe

1D2DB6D8D77C2E072DB34CA7377722BE

Esteemaudit-2.1.0.exe

8C80DD97C37525927C1E549CB59BCBF3

Eternalblue-2.2.0.exe

A1A099FB912731E8B8033BFC2C31B97B

Eternalromance-1.4.0.exe

C24315B0585B852110977DACAFE6C8C1

Doublepulsar-1.3.1.exe

コメントを残す

メールアドレスが公開されることはありません。