최근 화웨이 위협 인텔리전스 분석가들은 다수의 비정상적인 무차별 공격을 발견하고 9000+의 육계 크기를 제어하는 봇넷을 발견하여 공격 도구 세트 및 공격 프로세스의 추적 분석을 통해 니톨 봇넷으로 확인했습니다. 봇넷의 이진 역 분석 및 추적 성 포렌식 분석을 통해 봇넷의 제어 호스트를 찾고 클라우드 서비스 제공 업체에 연락하여 봇넷의 제어 호스트를 종료합니다.
니톨은 가장 활발한 디도스 봇넷 중 하나입니다. 니톨 제품군의 오픈 소스 코드는 외국 해커에 의해 업그레이드,수정 및 사용되었으며 니톨은 이미 10 가지 이상의 다양한 프로토콜을 보유하고 있습니다. 니톨 가족의 봇넷 도구는 다른 국가로 확산되었지만 주로 국내 장비를 감염시킵니다. 특히 국가안보국의 이터널 블루 취약점과 구조체 2 시리즈의 취약점이 노출되면서 자동화된 익스플로잇 툴을 통해 다양한 제품군(니톨 제품군 포함)의 악성코드를 대량으로 주입하는 사건이 발생한다.
이 논문은 주로 니톨 봇넷의 확산 및 확산 모드와 기능을 소개하고 봇넷의 인프라 및 도구에 대한 예비 소개를 제공합니다.
2 공격 모드 분석
이번에 발견 된 니톨 봇넷은 기존의 무차별 대입 방법을 사용할뿐만 아니라 많은 수의 악용 도구를 사용합니다. 디도스 도구는 통제된 후 육계에 전달되고,육계 또는 육계 그룹은 악의적인 행동을 하도록 제어된다. 전반적인 공격 과정은 다음과 같습니다:
112.73.93.251 은 다음과 같이 많은 악성 파일을 호스팅하는 것으로 나타났습니다:
이 백서에서는 봇넷의 구성 방법,기능 및 인프라를 분석하는 단서로 사용되는 핵심 악성 샘플입니다.
2.1 확산 및 전달
2.1.1 파일을 분석하는 과정에서 무차별 대입
.샘플에서 많은 무차별 대입 작업이 발견되었습니다. 다음 그림에서는 역방향 분석 중에 찾은 사용자 이름과 암호를 보여 줍니다:
무차별 대입이 성공하면 공격자는 다음 공격 명령을 육계 측에 보냅니다.
2.1.2 취약점 악용
이 취약점을 악용하여 대상의 139 및 445 포트에 대한 공격도 발견했습니다. 공격이 성공하면 디도스 공격 도구가 다운로드됩니다.
다음 그림은 실행 중 전송된 악용 전파 트래픽을 보여 줍니다.익스:
트래픽은 부동태 총계를 사용하여 분석되며 영원한 블루+더블 풀 사르 취약점을 악용하는 공격이 발견되었습니다.
다음 표와 같이 다른 악용 도구도 서버에 호스팅됩니다:
|
파일 이름 |
파일 역할 또는 기능 |
|
1.우편 번호 |
60001 포트 공격 도구 세트 |
|
카브우편 번호 |
60001 포트 공격에 대 한 도구 집합의 큰 숫자를 포함 합니다. 공격 성공 후 디도스 도구에서 다운로드 됩니다. |
|
사우스 캐롤라이나우편 번호 |
균열 및 전달 기능을 갖춘 사용자 정의 포트 스캐너라는 이름의 포트 스캔 도구 세트 |
|
제비뽑아라르 |
제비뽑아이러한 위협이 설치된있어 후에는 인터넷을 통해 파일이나 서핑을 열려고 할 때,모든 정상적인 시스템의 활동과 오류 메시지를 표시 중지됩니다. |
|
링항우편 번호 |
이 도구는 |
이 도구는
2.2 디도스 공격
리눅스위지제이를 분석하는 동안,최대 14 개의 디도스 공격 방법이 발견되었고,우리는 다른 디도스 공격이 다른 파라미터에 따라 수행되었다는 것을 발견했다.
공격 매개 변수 대응 테이블은 다음과 같습니다:
|
디도스 방법 |
매개 변수 |
비고 |
|
뉴스레터 구독 |
0 |
비 루트 권한 |
|
뉴스레터 구독 |
0 |
루트 권한 |
|
뉴스레터 구독 |
1 |
|
|
뉴스레터 구독 |
2 |
|
|
머리_홍수 |
3 |
|
|
뉴스레터 구독 |
4 |
|
|
뉴스레터 구독 |
5 |
|
|
뜻홍수 |
6 |
|
|
게시물_홍수 |
7 |
|
|
뉴스레터 구독 |
8 |
비 루트 권한 |
|
|
8 |
루트 권한 |
|
뉴스레터 구독 |
9 |
|
|
뉴스레터 구독 |
10 |
|
|
뉴스레터 구독 |
11 |
2.3 악성 샘플 분석 과정에서 데이터 도용
다음 그림과 같이 원격 제어 작업뿐만 아니라 많은 수의 데이터베이스 작업이 발견되었습니다:
그림에서 볼 수 있듯이 기업 재무 정보를 도용하는 데 사용되는 것으로 의심되는 판매 및 회계 관련 키워드가 있습니다.
3.1 샘플 행동 협회
분석 중.그 결과,그 결과는 다음과 같습니다.압축 해제 후 니톨 그룹 봇넷에 의해 사용 된 샘플과 유사 하였다. 다음 그림은 이번에 찾은 샘플과 알려진 니톨 봇넷 샘플 간의 코드 논리 비교입니다:
이에 비해 봇넷이 이번에 발견 한 것은 니톨 봇넷의 한 지점이며,이 논문이 그렇게 명명 된 이유는 다음과 같습니다.
3.2 씨투 서버
샘플 분석 과정에서 씨투 주소는 112.73.93.25 로 확인 될 수 있으며,이는 정보 플랫폼에 포함되지 않았습니다(2018 년 8 월 22 일 15:00 이전). 이 문제를 해결하려면 다음 단계를 수행하십시오.
현재 E 충전 방법에는 알리페이,위챗,온라인 뱅킹 및 오프라인 결제가 포함되며,이를 기반으로 공격자가 타겟팅 할 수 있습니다.
이는 공격자를 대상으로 하는 또 다른 방법을 제공합니다.
이 응용 프로그램은 안드로이드 4.0 에 대한 강력한,빠르고,그리고 고도의 사용자 정의 홈 대체+.
3.3 도구 세트
공격자는 다음 표와 같이 많은 악용 도구와 원격 제어 도구를 사용했습니다.
|
도구 세트 |
기능 |
|
제이보스는 |
시스템 공격용 |
|
그림자 중개인 |
원격 호스트 셸 권한 획득 및 악성 샘플 페이로드 전달을 위한 중소기업 악용 도구 |
|
타이펑 디도스 |
디도스 공격 도구 생성 |
4 분석 결론
이 봇넷의 분석은 다음과 같이 요약된다:
1.봇넷 컨트롤러는 서로 다른 노드에 파일 다운로드 서비스를 배포합니다.(112.73.93.251);
2.봇넷 컨트롤러가 사용하는 도구는 네트워크에 노출되어 직접 다운로드하여 사용할 수 있습니다. 다운로드 및 분석 후,우리는 그들이 일반적인 원격 제어 도구로 찾을;
3.일반적인 봇넷 컨트롤러는 도메인 이름 서비스 구매와 같은 방법으로 등록 정보를 숨 깁니다. 그러나 본 논문에서 발견 된 씨 2 서비스는 국내 클라우드 서비스 제공 업체에 의해 호스팅됩니다.
위의 분석에 기초하여,다음 추론된다:
1.봇넷은 풍부한 경험이없는 개인 또는 소규모 그룹에 의해 시작되며,봇넷에서 사용하는 도구는 일반적인 원격 제어 도구가 예입니다;
2.봇넷 컨트롤러의 진정한 정체성은 국내 클라우드 서비스 제공 업체의 등록 정보를 통해 얻을 수 있습니다. 봇넷 컨트롤러는 봇넷 자체의 개인 정보를 너무 많이 고려하지 않고 국내 클라우드 서비스 제공 업체를 통해 테스트 할 수있는 봇넷을 신속하게 구축합니다.
5 보호 조치
1.3197>
2.공급업체에서 제공하는 패치를 설치하여 취약점을 수정하거나 소프트웨어를 최신 비 취약 버전으로 업그레이드하십시오;
3.의심되는 악성 샘플을 발견하면 탐지를 위해 화웨이 클라우드 샌드 박스에 제출하고 탐지 결과를 기반으로 빠른 결정을 내릴 수 있습니다.
4.It 다양한 공격으로부터 보호하기 위해 인공 지능 지원 장치를 배포하는 것이 좋습니다.112.73.93.
부록:
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |