onlangs ontdekten analisten van Huawei threat intelligence een groot aantal abnormale SSH brute force aanvallen, en ontdekten een botnet dat een vleeskuikengrootte van 9000+ bestuurt en identificeerden het als een Nitol botnet door middel van de tracking analyse van de attack tool set en het aanvalsproces. Door de binaire omgekeerde analyse en traceerbaarheid forensische analyse van het botnet wordt de besturingshost van het botnet gelokaliseerd, wordt contact opgenomen met de cloudserviceprovider en wordt de besturingshost van het botnet afgesloten.
Nitol is een van de meest actieve DDoS botnets. De open source code van de Nitol familie is opgewaardeerd, gewijzigd en gebruikt door buitenlandse hackers, en Nitol heeft al meer dan 10 varianten van verschillende protocollen. Hoewel de botnettools van de Nitol-familie zich hebben verspreid naar andere landen, infecteert het voornamelijk huishoudelijke apparatuur. Vooral met de blootstelling van NSA ‘ s Eternal Blue kwetsbaarheid en de Structs2 serie van kwetsbaarheden, het incident van bulk implanteren kwaadaardige code van verschillende families (Nitol familie inbegrepen) door middel van geautomatiseerde exploit tool optreedt.
dit artikel introduceert voornamelijk de verspreidings – en verspreidingsmodus en-functionaliteit van Nitol-botnet en geeft een eerste inleiding tot de infrastructuur en hulpmiddelen van het botnet.
2 Attack Mode Analysis
het Nitol botnet dat deze keer werd ontdekt gebruikt niet alleen de traditionele brute force methode, maar gebruikt ook een groot aantal exploit tools, zoals ShadowBroker, JBoss, MySql3306. De DDoS tool wordt geleverd aan de vleeskuiken na wordt gecontroleerd, en de vleeskuiken of vleeskuiken groep wordt gecontroleerd om kwaadaardige acties uit te voeren. Het totale aanvalsproces is als volgt:
bij analyse, de C2 adres 112.73.93.251 bleek een HFS server (Http File Server), hosting van een groot aantal schadelijke bestanden, zoals hieronder getoond:
In deze paper, de belangrijkste kwaadaardige monsters gehost door HFS worden gebruikt als aanwijzingen voor het analyseren van de bouwmethode, functionaliteit en infrastructuur van het botnet.
2.1 spreiding en levering
2.1.1 Brute-force
tijdens het analyseren van het bestand whgj11.exe, een groot aantal brute kracht acties werden gevonden in het monster. De volgende figuur toont de gebruikersnaam en het wachtwoord gevonden tijdens de omgekeerde analyse:
zodra de brute force succesvol is, zal de aanvaller de volgende aanval commando ‘ s naar de vleeskuikens kant sturen: sluit de systeem firewall, download de DDoS tool via de wget Commando, voer het gedownloade bestand uit, en stel de Linux boot entry.
2.1.2 kwetsbaarheid exploitatie
in het proces van het analyseren van whgj11.exe, we vonden niet alleen de brute force actie, maar ook een aanval tegen doel 139 en 445 poorten door het benutten van Eternal Blue + DoublePulsar kwetsbaarheden. Zodra de aanval succesvol is, zal de DDoS attack tool worden gedownload.
de volgende figuur toont het exploitatievoortplantingsverkeer dat tijdens de exploitatie van whgj11 is verzonden.executable:
het verkeer wordt geanalyseerd met behulp van PassiveTotal, en een aanval benutten Eternal Blue + DoublePulsar kwetsbaarheden werd gevonden.
Andere exploit tools zijn ook gehost op de C2-server, zoals weergegeven in de volgende tabel:
|
Bestand naam |
Bestand rol of functie |
|
1.zip |
gereedschapset om ccav 60001 poort aan te vallen |
|
ccav.zip |
het zip-bestand bevat een groot aantal toolsets voor het aanvallen van de ccav 60001 poort. Nadat de aanval succesvol is, wordt de DDoS-tool gedownload van C2 |
|
sc.zip |
een port scan tool set genaamd qniaoge custom port scanner met de functionaliteit van crack en levering |
|
gjb.rar |
Gjb.rar slaat een groot aantal kwaadaardige remote control tools op en exploiteert tools die worden gebruikt om voornamelijk ccav-gebruikers aan te vallen |
|
linghang.zip |
het zip-bestand bevat veel exploit tools, zoals Eternal Blue, EternalRomance, DoublePulsar, die worden gebruikt om voornamelijk poorten aan te vallen 139, 445, 3306 |
zodra de exploit is succesvol, het programma zal verspreiden en bellen met het DLL-bestand naar de DDoS-tool te downloaden.
2.2 DDoS-aanval
tijdens de analyse van Linuxwhgj, tot 14 DDOS-aanval methoden werden ontdekt, en we vonden dat verschillende DDoS-aanvallen werden uitgevoerd volgens verschillende parameters.
de aanvalsparameter correspondentietabel is als volgt:
|
DDoS-methode |
Parameter |
Opmerkingen |
|
TCP_Flood |
0 |
Niet root toestemming |
|
WZTCP_Flood |
0 |
Root toestemming |
|
ICMP_Flood |
1 |
|
|
GETFT_Flood |
2 |
|
|
HEAD_Flood |
3 |
|
|
UDP_Flood |
4 |
|
|
SYN_Flood |
5 |
|
|
GET_Flood |
6 |
|
|
POST_Flood |
7 |
|
|
UDP_Flood |
8 |
Niet root toestemming |
|
WZUDP_Flood |
8 |
Root toestemming |
|
WZSYN_Flood |
9 |
|
|
ack_Flood |
10 |
|
|
xzcc_Flood |
11 |
2.3 Gegevens stelen
In het proces van het analyseren van de kwaadaardige monster whgj.exe, niet alleen de afstandsbediening actie, maar ook een groot aantal mysql database operaties werden gevonden, zoals weergegeven in de volgende figuur:
zoals te zien is in de figuur, zijn er verkoop en boekhouding gerelateerde zoekwoorden, zoals BILLID, SALEBILL, SALEDETAIL, PAYDETAIL, verdacht van het worden gebruikt om zakelijke financiële informatie te stelen.
3.1 Sample Behavior Association
tijdens de analyse van whgj11.exe, het werd gevonden dat whgj11.exe was vergelijkbaar met het monster gebruikt door de Nitol Groep botnet na uitgepakt. De volgende figuur is een code logic vergelijking tussen de sample we vonden deze keer en een bekende Nitol botnet sample:
ter vergelijking, het kan worden afgeleid dat het botnet ontdekt deze keer is een tak van het Nitol botnet, dat is waarom dit papier is zo genoemd.
3.2 C2 Server
In het proces van monsteranalyse kan het C2-adres worden bevestigd als 112.73.93.25, dat niet is opgenomen in een informatieplatform (vóór 15:00, 22 augustus 2018). Door het opvragen van de Whois, kan worden vastgesteld dat dit IP is van Eflycloud.
op dit moment, Eflycloud ‘ s oplaadmethoden zijn Alipay, Wechat, online bankieren en offline betaling, op basis waarvan een aanvaller kan worden gericht.
bovendien, gebruikers van Eflycloud nodig hebben om mobiele telefoonnummer en mailbox informatie te verstrekken tijdens het registratieproces, die een andere manier om te richten aanvaller biedt.
de medewerkers van de klantenservice van Eflycloud zijn al gecontacteerd en de C2-server is afgesloten en is momenteel niet toegankelijk.
3.3 Tool set
de betreffende aanvaller gebruikte een groot aantal exploit tools en remote control tools, zoals weergegeven in de volgende tabel.
|
– Tool set |
Functionaliteit |
|
JBOSS |
voor de aanval op CCAV systeem |
|
ShadowBroker |
SMB exploiteren tool voor het verkrijgen van externe host shell toestemming en het leveren van kwaadaardige monster lading |
|
Taifeng DDOS |
het Genereren van een DDoS-aanval tools |
4 Analyse Conclusie
de analyse van dit botnet wordt als volgt samengevat::
1.Gemeenschappelijke botnet controllers zal C2 service en file download service implementeren op verschillende knooppunten, maar de C2 service en file download service gevonden deze keer worden gehost op hetzelfde knooppunt (112.73.93.251);
2.De tools die door de botnet controller worden gebruikt, zijn blootgesteld aan het netwerk en kunnen direct worden gedownload en gebruikt. Na het downloaden en analyseren, vinden we dat ze veelgebruikte remote control tools zijn;
3.Gemeenschappelijke botnet controllers verbergen C2 en registratie-informatie door methoden zoals de aankoop van domeinnaam service, DGA-algoritme. Maar de C2-dienst in dit document wordt gehost door de binnenlandse cloud service provider.
op basis van bovenstaande analyse wordt het volgende afgeleid:
1.Het botnet wordt gelanceerd door individuele of kleinschalige groep zonder rijke ervaring, de tools die worden gebruikt door het botnet zijn gemeenschappelijke remote control tools is een voorbeeld;
2.De ware identiteit van de botnet controller kan worden verkregen door middel van de registratie-informatie van de binnenlandse cloud service provider. De botnet controller bouwt snel een botnet voor het testen via een binnenlandse cloud service provider, zonder al te veel aandacht voor de privacy van het botnet zelf.
5 Beschermende Maatregelen
1.Vak C2 volgens de IOC-informatie in de bijlage en blok kwaadwillige monsters van binnenkomst in de onderneming;
2.Installeer door de leverancier geleverde patch om de kwetsbaarheid op te lossen of de software te upgraden naar de nieuwste niet-kwetsbare versie;
3.Als u een verdacht kwaadaardig Monster vindt, kunt u het indienen bij Huawei Cloud Sandbox voor detectie en een snelle beslissing nemen op basis van het detectieresultaat;
4.It wordt aanbevolen om IPS-apparaat te implementeren om te beschermen tegen verschillende exploits.
Appendix: IOC
C2: 112.73.93.251
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |