niedawno analitycy Huawei Threat intelligence odkryli dużą liczbę nieprawidłowych ataków SSH brute force, odkryli botnet kontrolujący brojlery o rozmiarze 9000+ i zidentyfikowali go jako botnet Nitolowy poprzez analizę śledzenia zestawu narzędzi ataku i procesu ataku. Dzięki binarnej analizie odwrotnej i kryminalistycznej analizie śledzenia botnetu, host kontrolny botnetu jest zlokalizowany, a dostawca usług w chmurze jest kontaktowany, a host kontrolny botnetu jest wyłączany.
Nitol jest jednym z najbardziej aktywnych botnetów DDoS. Otwarty kod źródłowy rodziny Nitol został zaktualizowany, zmodyfikowany i używany przez zagranicznych hakerów, a Nitol ma już ponad 10 wariantów różnych protokołów. Chociaż narzędzia botnetowe rodziny Nitol rozprzestrzeniły się na inne kraje, infekują głównie Sprzęt Domowy. Zwłaszcza w przypadku ujawnienia luki Eternal Blue NSA i serii luk Structs2, dochodzi do incydentu masowego wszczepiania złośliwego kodu różnych rodzin (w tym rodziny Nitol) za pomocą zautomatyzowanego narzędzia exploit.
w artykule przedstawiono głównie tryb rozprzestrzeniania i dyfuzji oraz funkcjonalność botnetu Nitol i przedstawiono wstępne wprowadzenie do infrastruktury i narzędzi botnetu.
2 Analiza trybu ataku
botnet Nitol odkryty tym razem nie tylko wykorzystuje tradycyjną metodę brute force, ale także wykorzystuje dużą liczbę narzędzi exploitowych, takich jak ShadowBroker, JBoss, MySql3306. Narzędzie DDoS jest dostarczane do brojlerów po kontrolowaniu, a brojlery lub brojlery są kontrolowane w celu wykonywania złośliwych działań. Ogólny proces ataku jest następujący:
podczas analizy, adres C2 112.73.93.251 został znaleziony jako serwer HFS (serwer plików Http), hosting dużej liczby szkodliwych plików, jak pokazano poniżej:
w niniejszym artykule kluczowe złośliwe próbki hostowane przez HFS są wykorzystywane jako wskazówki do analizy metody budowy, funkcjonalności i infrastruktury botnetu.
2.1
2.1.1 Brute-force
w procesie analizy pliku whgj11.exe, duża liczba akcji brute force znaleziono w próbce. Poniższy rysunek przedstawia nazwę użytkownika i hasło znalezione podczas analizy odwrotnej:
po udanej akcji brute force atakujący wyśle następujące polecenia ataku na stronę broilera: Zamknij zaporę systemową, Pobierz narzędzie DDoS za pomocą polecenia wget, wykonaj pobrany plik i ustaw wpis Linux boot.
2.1.2 wykorzystanie luk
w procesie analizy whgj11.exe, znaleźliśmy nie tylko akcję brute force, ale także atak na porty 139 i 445 celu, wykorzystując luki Eternal Blue + DoublePulsar. Po udanym ataku zostanie pobrane narzędzie do ataku DDoS.
poniższy rysunek pokazuje wykorzystanie ruchu propagacji wysyłanego podczas działania whgj11.exe:
ruch jest analizowany przy użyciu PassiveTotal i wykryto atak wykorzystujący luki Eternal Blue + DoublePulsar.
Inne narzędzia exploit są również hostowane na serwerze C2, jak pokazano w poniższej tabeli:
|
nazwa pliku |
Rola lub funkcja pliku |
|
1.zip |
Zestaw Narzędzi do ataku na port CCAV 60001 |
|
ccav.zip |
plik zip zawiera dużą liczbę zestawów narzędzi do atakowania portu CCAV 60001. Po udanym ataku narzędzie DDoS jest pobierane z C2 |
|
sc.zip |
zestaw narzędzi do skanowania portów o nazwie qniaoge custom port scanner z funkcjonalnością crack and delivery |
|
gjb.rar |
Gjb.rar przechowuje dużą liczbę złośliwych narzędzi do zdalnego sterowania i narzędzi exploitowych, które są używane do atakowania głównie użytkowników CCAV |
|
linghang.zip |
plik zip zawiera wiele narzędzi exploitowych, takich jak Eternal Blue, Eternalromance, DoublePulsar, które są używane do atakowania głównie portów 139, 445, 3306 |
gdy exploit się powiedzie, program rozprzestrzeni się i wywoła plik DLL, aby pobrać narzędzie DDoS.
2.2 atak DDoS
podczas analizy Linuxwhgj odkryto do 14 metod ataku DDoS i okazało się, że różne ataki DDoS były wykonywane według różnych parametrów.
Tabela korelacji parametrów ataku jest następująca:
|
metoda DDoS |
parametr |
uwagi |
|
TCP_Flood |
0 |
uprawnienia Non root |
|
WZTCP_Flood |
0 |
uprawnienia roota |
|
ICMP_Flood |
1 |
|
|
GETFT_Flood |
2 |
|
|
HEAD_Flood |
3 |
|
|
UDP_Flood |
4 |
|
|
SYN_Flood |
5 |
|
|
GET_Flood |
6 |
|
|
POST_Flood |
7 |
|
|
UDP_Flood |
8 |
uprawnienia Non root |
|
WZUDP_Flood |
8 |
uprawnienia roota |
|
WZSYN_Flood |
9 |
|
|
ack_Flood |
10 |
|
|
xzcc_Flood |
11 |
2.3 wykraść dane
w procesie analizy złośliwej próbki whgj.exe, znaleziono nie tylko działanie zdalnego sterowania, ale także dużą liczbę operacji na bazie danych MySQL, jak pokazano na poniższym rysunku:
jak widać na rysunku, istnieją sprzedaż i księgowość powiązane słowa kluczowe, takie jak BILLID, SALEBILL, SALEDETAIL, PAYDETAIL, podejrzany o kradzież informacji finansowych przedsiębiorstw.
3.1 przykładowe skojarzenie zachowań
podczas analizy whgj11.exe, okazało się, że whgj11.exe był podobny do próbki używanej przez botnet grupy Nitol po rozpakowaniu. Poniższy rysunek jest porównaniem logiki kodu między próbką, którą znaleźliśmy tym razem, a znaną próbką botnetu Nitolowego:
dla porównania, można wywnioskować, że botnet odkryty tym razem jest gałęzią botnetu Nitolowego, dlatego ten artykuł jest tak nazwany.
3.2 Serwer C2
w procesie analizy próbki adres C2 może zostać potwierdzony jako 112.73.93.25, który nie został uwzględniony w żadnej platformie informacyjnej (przed 15:00, 22 sierpnia 2018). Odpytywając Whois, można ustalić, że ten adres IP pochodzi z Eflycloud.
obecnie metody ładowania Eflycloud obejmują Alipay, WeChat, bankowość internetową i płatności offline, w oparciu o które atakujący może być ukierunkowany.
Ponadto użytkownicy Eflycloud muszą podać numer telefonu komórkowego i informacje o skrzynce pocztowej podczas procesu rejestracji,co zapewnia inny sposób na celowanie w atakującego.
skontaktowano się już z pracownikami obsługi klienta Eflycloud, a serwer C2 został zamknięty i jest obecnie niedostępny.
3.3 Zestaw Narzędzi
atakujący użył dużej liczby narzędzi exploitujących i zdalnego sterowania, jak pokazano w poniższej tabeli.
|
Zestaw Narzędzi |
funkcjonalność |
|
JBOSS |
za atakowanie systemu CCAV |
|
ShadowBroker |
narzędzie exploit SMB do uzyskiwania uprawnień do zdalnej powłoki hosta i dostarczania złośliwego ładunku próbki |
|
Taifeng DDOS |
generowanie narzędzi do ataków DDoS |
4 Podsumowanie analizy
analiza tego botnetu podsumowuje się następująco:
1.Wspólne Kontrolery botnetu będą wdrażać usługę C2 i usługę pobierania plików na różnych węzłach, ale usługa C2 i usługa pobierania plików znalezione tym razem są hostowane w tym samym węźle (112.73.93.251);
2.Narzędzia używane przez kontroler botnet zostały ujawnione w sieci i mogą być pobierane i używane bezpośrednio. Po pobraniu i analizie uważamy je za wspólne narzędzia do zdalnego sterowania;
3.Popularne Kontrolery botnetu ukrywają informacje o C2 i rejestracji za pomocą takich metod jak usługa zakupu nazwy domeny, algorytm DGA. Ale usługa C2 znaleziona w tym artykule jest hostowana przez krajowego dostawcę usług w chmurze.
na podstawie powyższej analizy wnioskuje się, co następuje:
1.Botnet jest uruchamiany przez pojedyncze lub małe grupy bez bogatego doświadczenia, narzędzia używane przez botnet są powszechnymi narzędziami zdalnego sterowania jest przykładem;
2.Prawdziwą tożsamość kontrolera botnetu można uzyskać za pośrednictwem informacji rejestracyjnych krajowego dostawcy usług w chmurze. Kontroler botnetu szybko buduje botnet do testowania za pośrednictwem krajowego dostawcy usług w chmurze, bez zbytniego dbania o prywatność samego botnetu.
5 Środki Ochronne
1.Blokuje C2 zgodnie z informacjami MKOl zawartymi w dodatku i blokuje wprowadzanie złośliwych próbek do przedsiębiorstwa;
2.Zainstaluj łatkę dostarczoną przez dostawcę, aby naprawić lukę lub uaktualnić oprogramowanie do najnowszej wersji, która nie zawiera luk;
3.Jeśli znajdziesz podejrzewaną złośliwą próbkę, możesz przesłać ją do chmury Huawei w celu wykrycia i szybko podjąć decyzję na podstawie wyniku wykrycia;
4.It zaleca się wdrożenie urządzenia obsługującego protokół IPS w celu ochrony przed różnymi exploitami.
251
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |