Recentemente, gli analisti di Huawei threat intelligence hanno scoperto un gran numero di attacchi di forza bruta SSH anormali e hanno scoperto una botnet che controlla una dimensione del broiler di 9000+ e l’hanno identificata come una botnet Nitol attraverso l’analisi di tracciamento del set di strumenti di attacco e Attraverso l’analisi inversa binaria e l’analisi forense della tracciabilità della botnet, viene individuato l’host di controllo della botnet e viene contattato il fornitore di servizi cloud e l’host di controllo della botnet viene arrestato.
Nitol è una delle botnet DDoS più attive. Il codice open source della famiglia Nitol è stato aggiornato, modificato e utilizzato da hacker stranieri, e Nitol ha già più di 10 varianti di protocolli diversi. Sebbene gli strumenti botnet della famiglia Nitol si siano diffusi in altri paesi, infetta principalmente le apparecchiature domestiche. Soprattutto con l’esposizione della vulnerabilità Eternal Blue della NSA e la serie di vulnerabilità Structs2, si verifica l’incidente di bulk impiantare codice dannoso di varie famiglie (famiglia Nitol inclusa) attraverso lo strumento di exploit automatizzato.
Questo documento introduce principalmente la modalità di diffusione e diffusione e la funzionalità della botnet Nitol e fornisce un’introduzione preliminare all’infrastruttura e agli strumenti della botnet.
2 Analisi della modalità di attacco
La botnet Nitol ha scoperto questa volta non solo utilizza il tradizionale metodo della forza bruta, ma utilizza anche un gran numero di strumenti di exploit, come ShadowBroker, JBoss, MySql3306. Lo strumento DDoS viene consegnato al broiler dopo essere stato controllato e il broiler o il gruppo di broiler viene controllato per eseguire azioni dannose. Il processo di attacco generale è il seguente:
Quando per essere analizzati, C2 indirizzo 112.73.93.251 è stato trovato per essere un server HFS (Http File Server), che ospita un gran numero di file dannosi, come mostrato di seguito:
In questa carta, la chiave campioni dannosi ospitato da HFS sono utilizzati come indizi di analizzare il metodo di costruzione, la funzionalità e l’infrastruttura di botnet.
2.1 Diffusione e consegna
2.1.1 Forza bruta
Nel processo di analisi del file whgj11.exe, un gran numero di azioni di forza bruta sono state trovate nel campione. La figura seguente mostra il nome utente e la password trovato durante l’inverso analisi:
una Volta che la forza bruta è successo, l’attaccante dovrà inviare i seguenti comandi d’attacco per il pollo lato: spegnere il firewall di sistema, scaricare il DDoS strumento attraverso il comando wget, eseguire il file scaricato, e impostare il boot Linux voce.
2.1.2 Vulnerabilità Sfruttamento
Nel processo di analisi whgj11.exe, abbiamo trovato non solo l’azione di forza bruta, ma anche un attacco contro le porte 139 e 445 di target sfruttando le vulnerabilità Eternal Blue + DoublePulsar. Una volta che l’attacco è riuscito, lo strumento di attacco DDoS verrà scaricato.
La figura seguente mostra il traffico di propagazione di sfruttamento inviato durante l’esecuzione di whgj11.exe:
Il traffico viene analizzato utilizzando PassiveTotal, ed è stato trovato un attacco sfruttando Eternal Blue + vulnerabilità DoublePulsar.
Altri strumenti exploit sono ospitati anche in C2 server, come illustrato nella seguente tabella:
|
nome del File |
File di ruolo o funzione |
|
1.zip |
Set di strumenti per attaccare la porta CCAV 60001 |
|
ccav.zip |
Il file zip contiene un gran numero di set di strumenti per attaccare la porta CCAV 60001. Dopo che l’attacco ha avuto successo, lo strumento DDoS viene scaricato da C2 |
|
sc.zip |
Un port scan tool set denominato qniaoge custom port scanner con la funzionalità di crack and delivery |
|
gjb.rar |
Gjb.rar memorizza un gran numero di strumenti di controllo remoto dannosi e sfruttare gli strumenti che vengono utilizzati per attaccare principalmente gli utenti CCAV |
|
linghang.zip |
Il file zip contiene un sacco di sfruttare strumenti come l’Eterna Blu, EternalRomance, DoublePulsar, che vengono utilizzati per attaccare principalmente porte 139, 445, 3306 |
una Volta che l’exploit è successo, il programma si propagano e chiamare il file DLL per scaricare il DDoS strumento.
2.2 Attacco DDoS
Durante l’analisi di Linuxwhgj, sono stati scoperti fino a 14 metodi di attacco DDoS e abbiamo scoperto che diversi attacchi DDoS sono stati eseguiti in base a diversi parametri.
La tabella di corrispondenza dei parametri di attacco è la seguente:
|
DDoS metodo |
Parametro |
Commento |
|
TCP_Flood |
0 |
Non i permessi dell’utente root |
|
WZTCP_Flood |
0 |
i permessi dell’utente Root |
|
ICMP_Flood |
1 |
|
|
GETFT_Flood |
2 |
|
|
HEAD_Flood |
3 |
|
|
UDP_Flood |
4 |
|
|
SYN_Flood |
5 |
|
|
GET_Flood |
6 |
|
|
POST_Flood |
7 |
|
|
UDP_Flood |
8 |
Non i permessi dell’utente root |
|
WZUDP_Flood |
8 |
i permessi dell’utente Root |
|
WZSYN_Flood |
9 |
|
|
ack_Flood |
10 |
|
|
xzcc_Flood |
11 |
2.3 Rubare Dati
Nel processo di analisi del campione maligno whgj.exe, non solo il controllo remoto di azione, ma anche un gran numero di database MySQL operazioni sono stati trovati, come mostrato nella figura seguente:
Come si può vedere in figura, ci sono le vendite e contabilità relative parole chiave, ad esempio BILLID, SALEBILL, SALEDETAIL, PAYDETAIL, sospettato di essere utilizzato per rubare aziendale, informazioni finanziarie.
3.1 Associazione di comportamento del campione
Durante l’analisi di whgj11.exe, si è constatato che whgj11.exe era simile al campione utilizzato dalla botnet Nitol gruppo dopo decompresso. La figura seguente è un confronto logico di codice tra l’esempio che abbiamo trovato questa volta e un esempio noto di botnet Nitol:
In confronto, si può dedurre che la botnet scoperto questa volta è un ramo della botnet Nitol, che è il motivo per cui questo documento è così chiamato.
3.2 C2 Server
Nel processo di analisi del campione, l’indirizzo C2 può essere confermato come 112.73.93.25, che non è stato incluso in alcuna piattaforma informativa (prima delle 15:00, 22 agosto 2018). Interrogando il Whois, si può determinare che questo IP proviene da Eflycloud.
Allo stato attuale, i metodi di ricarica di Eflycloud includono Alipay, WeChat, online banking e pagamento offline, in base ai quali un utente malintenzionato può essere preso di mira.
Inoltre, gli utenti di Eflycloud devono fornire informazioni sul numero di cellulare e sulla casella di posta durante il processo di registrazione, il che fornisce un altro modo per indirizzare l’attaccante.
Lo staff del servizio clienti di Eflycloud è già stato contattato e il server C2 è stato spento ed è attualmente inaccessibile.
3.3 Tool set
L’attaccante interessato ha utilizzato un gran numero di strumenti di exploit e strumenti di controllo remoto, come mostrato nella tabella seguente.
|
set di Utensili |
Funzionalità |
|
JBOSS |
per attaccare CCAV di sistema |
|
ShadowBroker |
SMB sfruttare strumento per l’ottenimento di un host remoto shell autorizzazione e la consegna di campione maligno payload |
|
Taifeng DDOS |
Generare un attacco DDoS strumenti |
4 Analisi Conclusione
L’analisi di questa botnet è riassunta come segue:
1.I controller botnet comuni distribuiranno il servizio C2 e il servizio di download di file su nodi diversi, ma il servizio C2 e il servizio di download di file trovati questa volta sono ospitati sullo stesso nodo (112.73.93.251);
2.Gli strumenti utilizzati dal controller botnet sono stati esposti alla rete e possono essere scaricati e utilizzati direttamente. Dopo aver scaricato e analizzato, troviamo che sono strumenti di controllo remoto comuni;
3.I controller botnet comuni nascondono le informazioni C2 e di registrazione con metodi come l’acquisto di domain name service, algoritmo DGA. Ma il servizio C2 trovato in questo documento è ospitato dal fornitore di servizi cloud nazionali.
Sulla base dell’analisi di cui sopra, si deduce quanto segue:
1.La botnet viene lanciato da singoli o piccoli gruppi senza esperienza ricca, gli strumenti utilizzati dalla botnet sono comuni strumenti di controllo remoto è un esempio;
2.La vera identità del controller botnet può essere ottenuta attraverso le informazioni di registrazione del provider di servizi cloud nazionale. Il controller botnet costruisce rapidamente una botnet per il test attraverso un fornitore di servizi cloud domestico, senza troppa considerazione per la privacy della botnet stessa.
5 Misure di protezione
1.Bloccare C2 secondo le informazioni del CIO fornite nell’appendice e bloccare i campioni dannosi dall’ingresso nell’impresa;
2.Installare la patch fornita dal fornitore per correggere la vulnerabilità o aggiornare il software all’ultima versione non vulnerabile;
3.Se trovi un campione sospetto dannoso, puoi inviarlo a Huawei Cloud Sandbox per il rilevamento e prendere una decisione rapida in base al risultato del rilevamento;
4.It si consiglia di distribuire dispositivo IPS-enabled per la protezione contro vari exploit.
Appendice: CIO
C2: 112.73.93.251
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |