recent, analiștii Huawei threat intelligence au descoperit un număr mare de atacuri anormale SSH brute force și au descoperit un botnet care controlează o dimensiune a broilerului de 9000+ și l-au identificat ca un botnet Nitol prin analiza de urmărire a setului de instrumente de atac și a procesului de atac. Prin analiza binară inversă și analiza criminalistică a trasabilității botnetului, gazda de control a botnetului este localizată, iar furnizorul de servicii cloud este contactat, iar gazda de control a botnetului este închisă.
Nitol este unul dintre cele mai active botnet-uri DDoS. Codul open source al familiei Nitol a fost actualizat, modificat și utilizat de hackeri străini, iar Nitol are deja mai mult de 10 variante de protocoale diferite. Deși instrumentele botnet ale familiei Nitol s-au răspândit în alte țări, infectează în principal echipamentele casnice. Mai ales odată cu expunerea vulnerabilității albastre eterne a NSA și a seriei de vulnerabilități Structs2, are loc incidentul implantării în vrac a codului rău intenționat al diferitelor familii (inclusiv familia Nitol) prin intermediul instrumentului automat de exploatare.
această lucrare introduce în principal modul de răspândire și difuzie și funcționalitatea botnetului Nitol și oferă o introducere preliminară a infrastructurii și instrumentelor botnetului.
2 analiza modului de atac
botnetul Nitol descoperit de data aceasta nu numai că folosește metoda tradițională de forță brută, ci folosește și un număr mare de instrumente de exploatare, cum ar fi ShadowBroker, JBoss, MySql3306. Instrumentul DDoS este livrat broilerului după ce a fost controlat, iar grupul de broiler sau broiler este controlat pentru a efectua acțiuni rău intenționate. Procesul general de atac este următorul:
când a fost analizată, adresa C2 112.73.93.251 sa dovedit a fi un server HFS (Http File Server), găzduind un număr mare de fișiere rău intenționate, așa cum se arată mai jos:
în această lucrare, probele cheie rău intenționate găzduite de HFS sunt utilizate ca indicii pentru a analiza metoda de construcție, funcționalitatea și infrastructura botnetului.
2.1 răspândirea și livrarea
2.1.1 Brute-force
în procesul de analiză a fișierului whgj11.exe, un număr mare de acțiuni de forță brută au fost găsite în eșantion. Următoarea figură prezintă numele de utilizator și parola găsite în timpul analizei inverse:
odată ce forța brută are succes, atacatorul va trimite următoarele comenzi de atac către partea broiler: opriți paravanul de protecție al sistemului, descărcați instrumentul DDoS prin comanda wget, executați fișierul descărcat și setați intrarea de pornire Linux.
2.1.2 exploatarea vulnerabilității
în procesul de analiză whgj11.exe, am găsit nu numai acțiunea forței brute, ci și un atac împotriva porturilor target 139 și 445 prin exploatarea vulnerabilităților Eternal Blue + DoublePulsar. Odată ce atacul are succes, instrumentul de atac DDoS va fi descărcat.
figura următoare prezintă traficul de propagare exploatator trimis în timpul rulării whgj11.exe:
traficul este analizat folosind PassiveTotal și a fost găsit un atac care exploatează vulnerabilitățile Eternal Blue + DoublePulsar.
alte instrumente de exploatare sunt, de asemenea, găzduite pe serverul C2, așa cum se arată în tabelul următor:
|
Nume fișier |
rolul sau funcția fișierului |
|
1.zip |
set de instrumente pentru a ataca portul CCAV 60001 |
|
ccav.zip |
fișierul zip conține un număr mare de seturi de instrumente pentru atacarea portului CCAV 60001. După ce atacul are succes, instrumentul DDoS este descărcat de pe C2 |
|
sc.zip |
un set de instrumente de scanare a porturilor numit qniaoge custom port scanner cu funcționalitatea crack și livrare |
|
gjb.rar |
Gjb.rar stochează un număr mare de instrumente de control de la distanță rău intenționate și exploatează instrumente care sunt folosite pentru a ataca în principal utilizatorii CCAV |
|
linghang.zip |
fișierul zip conține o mulțime de instrumente de exploatare, cum ar fi Eternal Blue, EternalRomance, DoublePulsar, care sunt folosite pentru a ataca în principal porturile 139, 445, 3306 |
odată ce exploit-ul are succes, programul se va propaga și va apela fișierul DLL pentru a descărca instrumentul DDoS.
2.2 atac DDoS
în timpul analizei Linuxwhgj, au fost descoperite până la 14 metode de atac DDoS și am constatat că diferite atacuri DDoS au fost efectuate în funcție de diferiți parametri.
tabelul de corespondență al parametrilor de atac este următorul:
|
metoda DDoS |
parametru |
observații |
|
TCP_Flood |
0 |
permisiunea non root |
|
WZTCP_Flood |
0 |
permisiunea Root |
|
ICMP_Flood |
1 |
|
|
GETFT_Flood |
2 |
|
|
Cap_flood |
3 |
|
|
UDP_Flood |
4 |
|
|
SYN_Flood |
5 |
|
|
Gets_flood |
6 |
|
|
POST_Flood |
7 |
|
|
UDP_Flood |
8 |
permisiunea non root |
|
WZUDP_Flood |
8 |
permisiunea Root |
|
WZSYN_Flood |
9 |
|
|
ack_Flood |
10 |
|
|
xzcc_Flood |
11 |
2.3 fura date
în procesul de analiză a whgj eșantion rău intenționat.exe, nu numai acțiunea de control de la distanță, dar, de asemenea, un număr mare de operațiuni de baze de date MySQL au fost găsite, așa cum se arată în figura următoare:
după cum se poate observa în figură, există cuvinte cheie legate de vânzări și contabilitate, cum ar fi BILLID, SALEBILL, SALEDETAIL, PAYDETAIL, suspectate de a fi utilizate pentru a fura informații financiare corporative.
3.1 asocierea comportamentului eșantionului
în timpul analizei whgj11.exe, sa constatat că whgj11.exe a fost similar cu eșantionul utilizat de botnetul grupului Nitol după despachetare. Următoarea figură este o comparație logică a codului între eșantionul pe care l-am găsit de data aceasta și un eșantion cunoscut de botnet Nitol:
prin comparație, se poate deduce că botnetul descoperit de această dată este o ramură a botnetului Nitol, motiv pentru care această lucrare este numită astfel.
3.2 C2 Server
în procesul de analiză a eșantionului, adresa C2 poate fi confirmată ca 112.73.93.25, care nu a fost inclusă în nicio platformă de informare (înainte de ora 15:00, 22 August 2018). Prin interogarea Whois, Se poate determina că acest IP este de la Eflycloud.
în prezent, metodele de reîncărcare Eflycloud includ Alipay, WeChat, online banking și plata offline, pe baza cărora poate fi vizat un atacator.
în plus, utilizatorii Eflycloud trebuie să furnizeze informații despre numărul de telefon mobil și căsuța poștală în timpul procesului de înregistrare, ceea ce oferă un alt mod de a viza atacatorul.
personalul de servicii pentru Clienți al Eflycloud a fost deja contactat, iar serverul C2 a fost închis și este în prezent inaccesibil.
3.3 set de instrumente
atacatorul în cauză a folosit un număr mare de instrumente de exploatare și instrumente de control de la distanță, așa cum se arată în tabelul următor.
|
set de scule |
funcționalitate |
|
JBOSS |
pentru atacarea sistemului CCAV |
|
ShadowBroker |
SMB exploit tool pentru obținerea permisiunii shell gazdă la distanță și livrarea sarcinii utile eșantion rău intenționat |
|
Taifeng DDOS |
generați instrumente de atac DDoS |
4 concluzia analizei
analiza acestui botnet este rezumată după cum urmează:
1.Controlerele botnet comune vor implementa serviciul C2 și serviciul de descărcare a fișierelor pe noduri diferite, dar serviciul C2 și serviciul de descărcare a fișierelor găsite de data aceasta sunt găzduite pe același nod (112.73.93.251);
2.Instrumentele utilizate de controlerul botnet au fost expuse rețelei și pot fi descărcate și utilizate direct. După descărcarea și analiza, le găsim să fie instrumente comune de control de la distanță;
3.Controlerele botnet comune ascund informațiile C2 și de înregistrare prin metode precum achiziționarea serviciului de nume de domeniu, algoritmul DGA. Dar serviciul C2 găsit în această lucrare este găzduit de furnizorul de servicii cloud intern.
pe baza analizei de mai sus, se deduce următoarele:
1.Botnet este lansat de grup individual sau la scară mică, fără experiență bogată, instrumentele utilizate de botnet sunt instrumente comune de control de la distanță este un exemplu;
2.Adevărata identitate a controlerului botnet poate fi obținută prin informațiile de înregistrare ale furnizorului de servicii cloud intern. Controlerul botnet construiește rapid un botnet pentru testare printr-un furnizor de servicii cloud intern, fără a lua în considerare prea mult confidențialitatea botnetului în sine.
5 Măsuri De Protecție
1.Blocați C2 în conformitate cu informațiile CIO furnizate în anexă și blocați mostrele rău intenționate de la intrarea în întreprindere;
2.Instalați patch-ul furnizat de furnizor pentru a remedia vulnerabilitatea sau pentru a actualiza software – ul la cea mai recentă versiune non-vulnerabilă;
3.Dacă găsiți un eșantion suspect de rău intenționat, îl puteți trimite la Huawei Cloud Sandbox pentru detectare și puteți lua o decizie rapidă pe baza rezultatului detectării;
4.It este recomandat să implementați dispozitivul activat IPS pentru a vă proteja împotriva diferitelor exploatări.
apendice: CIO
C2 112.73.93.251
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |