nyligen upptäckte Huawei threat intelligence-analytiker ett stort antal onormala SSH brute force-attacker och upptäckte ett botnet som styr en slaktkycklingstorlek på 9000+ och identifierade det som ett Nitol botnet genom spårningsanalysen av attackverktygsuppsättningen och attackprocessen. Genom binär omvänd analys och spårbarhet rättsmedicinsk analys av botnet finns botnets kontrollvärd och molntjänstleverantören kontaktas och botnets kontrollvärd stängs av.
Nitol är en av de mest aktiva DDoS-botnäten. Den öppna källkoden för Nitol-familjen har uppgraderats, modifierats och använts av utländska hackare, och Nitol har redan mer än 10 varianter av olika protokoll. Även om Nitol-familjens botnetverktyg har spridit sig till andra länder, infekterar det främst hushållsutrustning. Speciellt med exponeringen av NSA: s eviga blå sårbarhet och Structs2-serien av sårbarheter inträffar händelsen av bulkimplantering av skadlig kod för olika familjer (Nitol-familjen ingår) genom automatiserat exploateringsverktyg.
detta dokument introducerar främst spridnings-och diffusionsläge och funktionalitet för Nitol botnet, och ger en preliminär introduktion till botnets infrastruktur och verktyg.
2 attackläge analys
Nitol botnet upptäckte den här gången använder inte bara den traditionella brute force-metoden utan använder också ett stort antal exploateringsverktyg, såsom ShadowBroker, JBoss, MySql3306. DDoS-verktyget levereras till slaktkycklingen efter att ha kontrollerats, och slaktkyckling-eller slaktkycklinggruppen styrs för att utföra skadliga åtgärder. Den övergripande attackprocessen är som följer:
när den analyserades befanns C2-adressen 112.73.93.251 vara en HFS-server (Http File Server), värd för ett stort antal skadliga filer, som visas nedan:
i detta dokument används de viktigaste skadliga proverna som HFS är värd för som ledtrådar för att analysera konstruktionsmetod, funktionalitet och infrastruktur i botnätet.
2.1 spridning och leverans
2.1.1 Brute-force
i processen att analysera filen whgj11.exe, ett stort antal brute force-åtgärder hittades i provet. Följande figur visar användarnamnet och lösenordet som hittades under omvänd analys:
när brute force är framgångsrik skickar angriparen följande attackkommandon till broilersidan: stäng av systembrandväggen, ladda ner DDoS-verktyget via wget-kommandot, kör den nedladdade filen och ställ in Linux-startposten.
2.1.2 sårbarhet utnyttjande
i processen att analysera whgj11.exe, vi hittade inte bara brute force-åtgärden utan också en attack mot targets 139 och 445 portar genom att utnyttja Eternal Blue + DoublePulsar-sårbarheter. När attacken är framgångsrik kommer DDoS-attackverktyget att laddas ner.
följande figur visar den exploaterande förökningstrafiken som skickas under whgj11.exe:
trafiken analyseras med PassiveTotal, och en attack som utnyttjar Eternal Blue + DoublePulsar sårbarheter hittades.
andra exploateringsverktyg finns också på C2-servern, som visas i följande tabell:
|
filnamn |
fil roll eller funktion |
|
1.zip |
verktyg för att attackera ccav 60001 port |
|
ccav.zip |
zip-filen innehåller ett stort antal verktygsuppsättningar för att attackera ccav 60001-porten. När attacken är framgångsrik laddas DDoS-verktyget ner från C2 |
|
sc.zip |
en port scan verktygssats som heter qniaoge anpassad port scanner med funktionalitet spricka och leverans |
|
gjb.rar |
Gjb.rar lagrar ett stort antal skadliga fjärrkontrollverktyg och utnyttjar verktyg som används för att attackera främst ccav-användare |
|
linghang.zip |
zip-filen innehåller många exploateringsverktyg, som Eternal Blue, EternalRomance, DoublePulsar, som används för att attackera huvudsakligen portar 139, 445, 3306 |
när exploateringen är framgångsrik kommer programmet att sprida och ringa DLL-filen för att ladda ner DDoS-verktyget.
2.2 DDOS Attack
under analysen av Linuxwhgj upptäcktes upp till 14 DDoS-attackmetoder, och vi fann att olika DDoS-attacker utfördes enligt olika parametrar.
attackparameterkorrespondenstabellen är som följer:
|
DDoS-metod |
Parameter |
anmärkningar |
|
TCP_Flood |
0 |
icke root tillstånd |
|
WZTCP_Flood |
0 |
Root tillstånd |
|
ICMP_Flood |
1 |
|
|
GETFT_Flood |
2 |
|
|
HEAD_Flood |
3 |
|
|
UDP_Flood |
4 |
|
|
SYN_Flood |
5 |
|
|
GET_Flood |
6 |
|
|
POST_Flood |
7 |
|
|
UDP_Flood |
8 |
icke root tillstånd |
|
WZUDP_Flood |
8 |
Root tillstånd |
|
WZSYN_Flood |
9 |
|
|
ack_Flood |
10 |
|
|
xzcc_Flood |
11 |
2.3 stjäla Data
i processen att analysera det skadliga provet whgj.exe, inte bara fjärrkontrollåtgärden utan också ett stort antal MySQL-databasoperationer hittades, vilket visas i följande figur:
som framgår av figuren finns det försäljnings-och bokföringsrelaterade nyckelord, som BILLID, SALEBILL, SALEDETAIL, PAYDETAIL, misstänkt för att användas för att stjäla företagets finansiella information.
3.1 Sample Behavior Association
under analysen av whgj11.exe, det konstaterades att whgj11.exe liknade provet som användes av Nitolgruppen botnet efter uppackning. Följande figur är en kodlogisk jämförelse mellan provet vi hittade den här gången och ett känt Nitol botnet-prov:
som jämförelse kan man dra slutsatsen att botnet som upptäcktes den här gången är en gren av Nitol botnet, varför detta papper heter så.
3.2 C2 Server
i processen med provanalys kan C2-adressen bekräftas som 112.73.93.25, som inte har inkluderats i någon informationsplattform (före 15:00, 22 augusti 2018). Genom att fråga Whois kan det bestämmas att denna IP är från Eflycloud.
för närvarande inkluderar Eflyclouds laddningsmetoder Alipay, WeChat, online banking och offline-betalning, baserat på vilken en angripare kan riktas.
dessutom måste användare av Eflycloud tillhandahålla mobilnummer och brevlådeinformation under registreringsprocessen, vilket ger ett annat sätt att rikta sig mot angripare.
Eflyclouds kundtjänstpersonal har redan kontaktats och C2-servern har stängts av och är för närvarande otillgänglig.
3.3 verktygsuppsättning
angriparen använde ett stort antal exploateringsverktyg och fjärrkontrollverktyg, som visas i följande tabell.
|
verktygsuppsättning |
funktionalitet |
|
JBOSS |
för att attackera CCAV-systemet |
|
ShadowBroker |
SMB utnyttja verktyg för att få remote host shell tillstånd och leverera skadlig prov nyttolast |
|
Taifeng DDOS |
generera DDoS-attackverktyg |
4 analys slutsats
analysen av detta botnet sammanfattas enligt följande:
1.Vanliga botnet-kontroller kommer att distribuera C2-tjänst och filnedladdningstjänst på olika noder, men C2-tjänsten och filnedladdningstjänsten som hittades den här gången är värd på samma nod (112.73.93.251);
2.Verktygen som används av botnet-Styrenheten har exponerats för nätverket och kan laddas ner och användas direkt. Efter nedladdning och analys finner vi att de är vanliga fjärrkontrollverktyg;
3.Vanliga botnet-kontroller döljer C2 och registreringsinformation med metoder som att köpa domännamnstjänst, DGA-algoritm. Men C2-tjänsten som finns i detta dokument är värd för den inhemska molntjänstleverantören.
baserat på ovanstående analys härleds följande:
1.Botnet lanseras av enskilda eller småskaliga grupp utan rik erfarenhet, de verktyg som används av botnet är vanliga fjärrkontrollverktyg är ett exempel;
2.Botnet-styrenhetens sanna identitet kan erhållas genom registreringsinformationen från den inhemska molntjänstleverantören. Botnet controller bygger snabbt ett botnet för testning via en inhemsk molntjänstleverantör, utan för mycket hänsyn till själva botnets integritet.
5 Skyddsåtgärder
1.Blockera C2 enligt IOC-informationen i bilagan och blockera skadliga prover från att komma in i företaget;
2.Installera leverantörslevererad patch för att åtgärda sårbarheten eller uppgradera programvaran till den senaste icke-sårbara versionen;
3.Om du hittar ett misstänkt skadligt prov kan du skicka det till Huawei Cloud Sandbox för upptäckt och fatta ett snabbt beslut baserat på detekteringsresultatet;
4.It rekommenderas att distribuera IPS-aktiverad enhet för att skydda mot olika bedrifter.
tillägg: IOC
C2 112.73.93.251
HASH:
|
MD5 |
File name |
|
2A37CD3C473F56C8F4BDD82716C5EDA9 |
tfwhgj99 |
|
9FE7DDB7FDBB4BD520527A702C7D35B8 |
whgj.exe |
|
0760A60775C5A5D25D88DEF463E24719 |
whgj11.exe |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgj88 |
|
C5F1F46F162D4A90EC3B65E81E8AA2E7 |
whgjarm |
|
3CDC1A44AD4B56BA9F0793CE78D6EA64 |
whgjj |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlh |
|
335F76103FCF36B86A67C8C69AFC7F9C |
whgjlinux |
|
CCB54FDB25DC08C4B34D39E0743ED966 |
x64.dll |
|
E277F5D9B7A2A26D552D7834B3471B3E |
x86.dll |
|
335F76103FCF36B86A67C8C69AFC7F9C |
tfwhgj |
|
229A9FF02918F3CEA0B433B180BB42DC |
linuxwhgj |
|
6CF1B0B2E141B2B30D842F2E135251D8 |
hfs.exe |
|
ED790D2C16E1F23281C978B970F4C79F |
DHLDAT.dat |
|
6AD308064B0DB1AE4504D79C91594475 |
4.dll |
|
7C5E5E15F7C2610E6E42D4A9C255373F |
1.jpg |
|
956958B308193D9F064D49F13A4D1EE1 |
s.dll |
|
80EA576747189219AD4870B541AE75FC |
start.bat |
|
5A1A3ABF4808E5531E3A8D77EF90B177 |
监听.exe |
|
C332C484C19F8ABD2F4744446CCD1E2C |
GL.exe |
|
8EE0551E965D07AF7B84E1FEE2609A14 |
Conn.asp |
|
97650B0F94964EEFF41C3C7AD9E5F979 |
getinfs.asp |
|
FDFC0B710FBC66493347E8B155D46557 |
mdb.ASP |
|
B5265F86A8C0D8D065DE35B06F1FCAE5 |
Password.asp |
|
BB1E7F070125F79AF3DBA2FA16B18593 |
addRead.asp |
|
5D3AE9011FD70BC41BA4981103BBE544 |
Computer.asp |
|
F632AF68AA268EA3577A978C6607503C |
ts.exe |
|
E4B9A1464DB41B0AFDF28FA03FA3B7C7 |
端口添加.bat |
|
0B75A3D1C43E32C09928AE74FAD4F7E8 |
千鸟阁网络端口自定义扫描器.bat |
|
1ABE570E5A3BD27BCADE41C0BE4E6FD5 |
s.exe |
|
E30D66BE8DDF31F44BB66B8C3EA799AE |
Esteemaudittouch-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
D2FB01629FA2A994FBD1B18E475C9F23 |
Eternalchampion-2.0.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |
|
1D2DB6D8D77C2E072DB34CA7377722BE |
Esteemaudit-2.1.0.exe |
|
8C80DD97C37525927C1E549CB59BCBF3 |
Eternalblue-2.2.0.exe |
|
A1A099FB912731E8B8033BFC2C31B97B |
Eternalromance-1.4.0.exe |
|
C24315B0585B852110977DACAFE6C8C1 |
Doublepulsar-1.3.1.exe |