Nylig Oppdaget Huawei threat intelligence-analytikere et stort antall unormale SSH brute force-angrep, og oppdaget et botnet som kontrollerte en broilerstørrelse på 9000+ og identifiserte det som Et Nitol botnet gjennom sporingsanalysen av angrepsverktøysettet og angrepsprosessen. Gjennom den binære revers analyse og sporbarhet rettsmedisinske analyse av botnet, kontroll vert for botnet er plassert, og skytjenesteleverandøren er kontaktet, og kontroll vert for botnet er stengt.
Nitol er en Av De mest aktive DDoS botnets. Den åpne Kildekoden Til Nitol-familien har blitt oppgradert, endret og brukt av utenlandske hackere, Og Nitol har allerede mer enn 10 varianter av forskjellige protokoller. Selv Om Nitol-familiens botnetverktøy har spredt seg til andre land, smitter det hovedsakelig innenlandsk utstyr. Spesielt med eksponeringen AV NSAS Evige Blå sårbarhet og Structs2-serien av sårbarheter, skjer hendelsen med bulkimplantasjon av ondsinnet kode fra ulike familier (Inkludert Nitol-familien) gjennom automatisert utnyttelsesverktøy.
denne artikkelen introduserer hovedsakelig spredning og diffusjon modus og funksjonalitet Nitol botnet, og gir en foreløpig innføring i infrastruktur og verktøy av botnet.
2 Angrepsmodus Analyse
Nitol botnet oppdaget denne gangen bruker ikke bare den tradisjonelle brute force-metoden, men bruker også et stort antall utnyttelsesverktøy, for Eksempel ShadowBroker, JBoss, MySql3306. DDoS-verktøyet leveres til broiler etter å ha blitt kontrollert, og broiler-eller broilergruppen styres for å utføre ondsinnede handlinger. Den generelle angrepsprosessen er som følger:
Når det ble analysert, Ble C2-adressen 112.73.93.251 funnet å være EN Hfs-server (Http-Filserver), som er vert for et stort antall ondsinnede filer, som vist nedenfor:
i dette papiret brukes de viktigste skadelige prøvene som ER vert FOR HFS, som ledetråder for å analysere byggemetode, funksjonalitet og infrastruktur av botnet.
2.1 Spredning og Levering
2.1.1 Brute-force
i prosessen med å analysere filen whgj11.exe, et stort antall brute force handlinger ble funnet i prøven. Følgende figur viser brukernavnet og passordet som ble funnet under omvendt analyse:
når brute force er vellykket, vil angriperen sende følgende angrepskommandoer til broiler-siden: slå av systembrannmuren, last Ned DDoS-verktøyet via wget-kommandoen, kjør den nedlastede filen og sett Linux-oppstartsoppføringen.
2.1.2 Sårbarhet Utnyttelse
i prosessen med å analysere whgj11.exe, vi fant ikke bare brute force-handlingen, men også et angrep mot målets 139 og 445-porter ved å utnytte Eternal Blue + DoublePulsar-sårbarheter. Når angrepet er vellykket, Vil DDoS attack tool bli lastet ned.
følgende figur viser den utnyttende forplantningstrafikken som sendes under driften av whgj11.exe:
trafikken analyseres Ved Hjelp Av PassiveTotal, og et angrep som utnytter Eternal Blue + DoublePulsar sårbarheter ble funnet.
Andre utnyttelsesverktøy er også vert På c2-serveren, som vist i følgende tabell:
|
Filnavn |
fil rolle eller funksjon |
|
1.zip |
Verktøy satt til å angripe CCAV 60001 port |
|
ccav.zip |
zip-filen inneholder et stort antall verktøysett for å angripe CCAV 60001-porten. Etter at angrepet er vellykket, Lastes DDoS-verktøyet ned Fra C2 |
|
sc.zip |
en port scan verktøysett kalt qniaoge custom port scanner med funksjonaliteten til sprekk og levering |
|
gjb.rar |
Gjb.rar lagrer et stort antall ondsinnede fjernkontrollverktøy og utnyttelsesverktøy som brukes til å angripe HOVEDSAKELIG CCAV-brukere |
|
linghang.zip |
zip-filen inneholder mange utnyttelsesverktøy, For Eksempel Eternal Blue, EternalRomance, DoublePulsar, som brukes til å angripe hovedsakelig porter 139, 445, 3306 |
Når utnyttelsen er vellykket, vil programmet forplante OG ringe DLL-filen for å laste Ned DDoS-verktøyet.
2.2 DDoS Angrep
Under Analysen Av Linuxwhgj ble opptil 14 DDoS-angrepsmetoder oppdaget, og vi fant at forskjellige DDoS-angrep ble utført i henhold til forskjellige parametere.
angrepet parameter korrespondanse tabellen er som følger:
|
DDoS-metoden |
Parameter |
Kommentarer |
|
TCP_Flood |
0 |
Ikke root tillatelse |
|
WZTCP_Flood |
0 |
Root tillatelse |
|
ICMP_Flood |
1 |
|
|
GETFT_Flood |
2 |
|
|
HEAD_Flood |
3 |
|
|
UDP_Flood |
4 |
|
|
SYN_Flood |
5 |
|
|
GET_Flood |
6 |
|
|
POST_Flood |
7 |
|
|
UDP_Flood |
8 |
Ikke root tillatelse |
|
WZUDP_Flood |
8 |
Root tillatelse |
|
WZSYN_Flood |
9 |
|
|
ack_Flood |
10 |
|
|
xzcc_Flood |
11 |
2.3 Stjel Data
i prosessen med å analysere den ondsinnede prøven whgj.exe, ikke bare fjernkontrollen, men også et stort antall MySQL-databaseoperasjoner ble funnet, som vist i følgende figur:
som det fremgår av figuren, er det salgs-og regnskapsrelaterte søkeord, SOM BILLID, SALEBILL, SALEDETAIL, PAYDETAIL, mistenkt for å bli brukt til å stjele bedriftens økonomiske informasjon.
3.1 Sample Behavior Association
under analysen av whgj11.exe, ble det funnet at whgj11.exe var lik prøven som Ble brukt Av Nitol-gruppen botnet etter utpakket. Følgende figur er en kodelogikk sammenligning mellom prøven vi fant denne gangen og en kjent Nitol botnet-prøve:
Til sammenligning kan det utledes at botnet oppdaget denne gangen er en gren Av Nitol botnet, og derfor er dette papiret så navngitt.
3.2 C2 Server
I prosessen med prøveanalyse kan C2-adressen bekreftes som 112.73.93.25, som ikke er inkludert i noen informasjonsplattform (før 15: 00, 22. August 2018). Ved å spørre Whois, kan det fastslås at DENNE IP er Fra Eflycloud.
I dag Inkluderer Eflycloud oppladningsmetoder Alipay, WeChat, nettbank og offline betaling, basert på hvilken en angriper kan målrettes.
i tillegg må Brukere Av Eflycloud gi mobilnummer og postboksinformasjon under registreringsprosessen, noe som gir en annen måte å målrette angriper på.
kundeservicepersonalet Til Eflycloud er allerede kontaktet, Og C2-serveren er stengt og er for tiden utilgjengelig.
3.3 Verktøysett
den berørte angriperen brukte et stort antall utnyttelsesverktøy og fjernkontrollverktøy, som vist i følgende tabell.
|
Verktøysett |
Funksjonalitet |
|
JBOSS |
for å angripe CCAV system |
|
ShadowBroker |
SMB utnytte verktøy for å få ekstern vert shell tillatelse og levere skadelig prøve nyttelast |
|
Taifeng DDOS |
Generere DDoS angrep verktøy |
4 Analyse Konklusjon
analysen av dette botnet er oppsummert som følger:
1.Vanlige botnet-kontrollere vil distribuere c2-tjeneste og filnedlastingstjeneste på forskjellige noder, Men c2-tjenesten og filnedlastingstjenesten funnet denne gangen er vert på samme node (112.73.93.251);
2.Verktøyene som brukes av botnet kontrolleren har vært utsatt for nettverket og kan lastes ned og brukes direkte. Etter nedlasting og analyse finner vi at de er vanlige fjernkontrollverktøy;
3.Vanlige botnet-kontrollere skjuler C2 og registreringsinformasjon ved hjelp av metoder som kjøp av domenenavnstjeneste, dga-algoritme. Men c2-tjenesten som finnes i dette papiret, er vert for innenlands skytjenesteleverandør.
basert på analysen ovenfor, er følgende utledet:
1.Botnet er lansert av individuelle eller småskala gruppe uten rik erfaring, verktøyene som brukes av botnet er vanlige fjernkontrollverktøy er et eksempel;
2.Den sanne identiteten til botnet-kontrolleren kan fås gjennom registreringsinformasjonen til den innenlandske skytjenesteleverandøren. Botnet-kontrolleren bygger raskt et botnet for testing gjennom en innenlands skytjenesteleverandør, uten for mye hensyn til personvernet til botnet selv.
5 Beskyttelsestiltak
1.Blokker C2 i HENHOLD til ioc-informasjonen i vedlegget og blokker skadelige prøver fra å komme inn i bedriften;
2.Installer oppdateringen levert av leverandøren for å fikse sikkerhetsproblemet eller oppgradere programvaren til den nyeste ikke-sårbare versjonen;
3.Hvis du finner en mistenkt skadelig prøve, kan du sende Den Til Huawei Cloud Sandbox for deteksjon og ta en rask beslutning basert på deteksjonsresultatet;
4.It anbefales å distribuere IPS-aktivert enhet for å beskytte mot ulike utnyttelser.
Tillegg: ioc
C2:112.73.93.251
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |