Nitol家族韓國殭屍網路變種分析及其威脅情報
1. 介紹
對Trojan[DDoS]/Win32.Nitol.C(下簡稱:Nitol.C)有所了解的反病毒研究人員或許都知道,Nitol最先是由鬼影工作室開發並通過某渠道將源碼對外公開,致使網路上出現多種不同協議的Trojan[DDoS]/Win32.Nitol(下簡稱:Nitol)版本,所以國內又稱「鬼影DDoS」。Nitol 家族是目前活躍在Windows環境下的主要botnet之一。
大多數Nitol家族的衍生版本都有一個比較顯著的特點是使用了lpk.dll劫持,通過lpk.dll劫持實現將樣本在受害設備上進行多磁碟橫向備份感染,達到了長期潛伏於受害系統並遠程操縱攻擊的目的。Nitol「狼藉」江湖多年,發展至今已經有8+不同協議的衍生版本,且據監控到的威脅情報顯示,這些Nitol家族組成的botnet每天都會對互聯網上的某個目標發起攻擊,嚴重威脅互聯網的安全!這裡主要講的是Nitol家族的Nitol.C衍生版本(見圖1-1 生成器界面),一個Nitol家族衍生版本的韓國殭屍網路及其威脅情報。
圖1-1 生成器界面
2. 基本信息
表1-1 樣本基本信息
| 病毒名稱 | Trojan[DDoS]/Win32.Nitol.C |
|---|---|
| 樣本MD5 | a48478dd55d8b099409bb829fb2b282f |
| 樣本大小 | 59KB |
| 樣本格式 | Exe |
3. 傳播方式
從目前監控到的威脅情報看,Nitol.C的傳播和感染方式主要有兩個:
1、通過自動化批量IP網段漏洞利用,植入被控端木馬。2017年上半年黑產最為流行的Windows自動化利用工具是」永恆之藍」和st2,其中Nitol.C也存在使用這種自動化「抓雞」方式進行部署botnet。
2、通過已有的botnet進行交叉感染。在已經部署的其他botnet上,通過批量執行遠程下載命令(見圖3-1 批量執行遠程執行指令)進行快速植入韓版掛馬站點webshare(見圖3-2 webshare 掛馬站點)的Nitol.C被控端木馬。
圖3-1 批量執行遠程執行指令
圖3-2 webshare 掛馬站點
安天-捕風在自動化監控Nitol.C系列botnet時,也捕獲到近百個上述類似的webshare掛馬站點,見圖3-2 捕獲的webshare站點:
圖3-3 捕獲的webshare站點
4. 樣本詳細分析
從圖1-1 獲得的情報看(控制端-生成器界面、生成被控端的默認文件名稱為「鬼影」拼音首寫字母,且和「國產」版Nitol的重合),該家族確為Nitol家族的衍生版 。但是Nitol.C並沒有真正的繼承Nitol家族的所有攻擊模式,只具備syn flood、tcp flood、http flood三大攻擊向量。
1)樣本備份和實現自啟動功能。
見圖4-1 樣本備份。木馬運行時首先驗證註冊表項的互斥量值「Serpiei」存在與否來鑒定自己是否第一次運行,如果第一次運行,木馬會進行備份並根據設置決定是否實現自啟動功能。
圖4-1 樣本備份
2)C2配置解密。
通過讀取存放.data區段的全局變數得到C2密文,進行base64+凱撒+異或三重解密獲取真實的C2。見圖4-2 C2配置解密:
圖4-2 C2配置解密
3)與C2建立通信連接,獲取系統配置信息,向C2發送首包。見圖4-3 與C2建立通信:
圖4-3 與C2建立通信
4)等待接收並執行C2遠程指令。Nitol.C被控端主要實現的是互斥量釋放、cmd shell、樣本下載、DDoS攻擊4種遠程指令,其中主要執行的還是DDoS攻擊。見表4-1 遠程指令類型:
表4-1 遠程指令類型
| 名稱 | 偏移 | 協議值 | 備註 |
|---|---|---|---|
| 樣本下載 | 0x0000-0x0004 | 0x10 | |
| 互斥量釋放 | 0x0000-0x0004 | 0x12、0x06 | |
| Cmd shell | 0x0000-0x0004 | 0x14 | |
| DDoS 攻擊 | 0x0000-0x0004 | 0x02、0x03、0x04 | 主要實現3大攻擊向量:0x02?tcp flood0x03?http flood0x04?syn flood |
5. 電信-雲堤「肉雞」情報反饋
據電信雲堤可靠數據反饋,Nitol.C系列的botnets中有大量「肉雞」潛伏在中國境內,而目前了解這些「肉雞」的來源主要有2個:
1.通過地下網路黑產進行「肉雞」收購。
2.通過漏洞利用工具進行批量抓雞。也說明國內很多設備疏於維護,漏洞未能及時修補。
6. 安天-捕風攻擊情報
Nitol.C系列樣本,安天-捕風在2017年6月初開始分類檢出並進行自動化監控。監控Nitol.C系列的攻擊情報結果顯示,截至2017年9月12日Nitol.C的主要C2基本部署於韓國(佔95.7%),共發起間歇性DDoS攻擊1,249次,製造298起DDoS攻擊事件,而主要攻擊目標也基本分布於韓國(佔93.86%),攻擊類型主要使用syn flood(佔98.68%)攻擊模式,其主要攻擊事件的時間集中於2017年6月19日——2017年7月3日之間。見圖6-1- Nitol.C攻擊時間分布:
圖6-1 Nitol.C攻擊時間分布
| 攻擊目標 | 攻擊類型 | 攻擊目標地域 | 攻擊開始時間 | 攻擊者地域 | 備註 |
|---|---|---|---|---|---|
| 182.212.47.244 | syn flood | 韓國 | 2017-09-10 19:58:14 | 韓國 | |
| 116.40.152.152 | syn flood | 韓國 | 2017-09-09 15:43:36 | 韓國 | |
| 49.163.23.181 | syn flood | 韓國 | 2017-09-08 22:14:38 | 韓國 | |
| 221.140.27.229 | syn flood | 韓國 | 2017-09-04 18:52:15 | 韓國 | |
| 211.215.157.93 | syn flood | 韓國 | 2017-09-03 20:12:35 | 韓國 | |
| 114.200.68.5 | syn flood | 韓國 | 2017-09-03 01:28:08 | 韓國 | |
| 118.220.182.136 | syn flood | 韓國 | 2017-09-01 18:55:34 | 韓國 | |
| 218.39.179.123 | syn flood | 韓國 | 2017-09-02 11:11:13 | 韓國 | |
| 112.167.225.197 | syn flood | 韓國 | 2017-09-01 20:05:49 | 韓國 | |
| 175.113.66.108 | syn flood | 韓國 | 2017-09-01 20:05:14 | 韓國 | |
| 183.102.11.172 | syn flood | 韓國 | 2017-08-29 16:30:50 | 韓國 | |
| 182.226.0.191 | syn flood | 韓國 | 2017-08-27 15:25:14 | 韓國 | |
| 103.23.4.115 | syn flood | 日本 | 2017-08-26 22:06:29 | 韓國 | |
| 59.14.20.109 | syn flood | 韓國 | 2017-08-26 21:38:31 | 韓國 | |
| 49.142.213.168 | syn flood | 韓國 | 2017-08-26 15:34:56 | 韓國 | |
| 120.50.134.85 | syn flood | 韓國 | 2017-08-26 15:32:09 | 韓國 | |
| 14.46.109.30 | syn flood | 韓國 | 2017-08-26 14:59:13 | 韓國 | |
| 222.122.48.49 | syn flood | 韓國 | 2017-08-26 01:05:30 | 韓國 | |
| 175.212.35.110 | syn flood | 韓國 | 2017-08-20 19:22:40 | 韓國 | |
| 125.180.190.31 | syn flood | 韓國 | 2017-08-22 20:51:57 | 韓國 |
表5-1攻擊情報
近日,有媒體再次炒作因為某問題,韓國多個政府部門遭到來自中國的DDoS攻擊。對此不禁要問:通過攻擊流量的來源就可以鑒定真正的攻擊幕後了嗎?DDoS 攻擊中「肉雞」也是其中的受害者,要鑒定真正的DDoS攻擊幕後不是依據攻擊流量的來源,而是依據控制整個botnet的C2的操縱者。根據監控到的攻擊威脅情報顯示,自2017年1月1日至2017年9月12日,(監控到的)全球共發生125,604,685 次間歇性DDoS攻擊(見圖 6-2全球DDoS攻擊威脅情報),攻擊目標是韓國的有102,730 次,僅佔據總攻擊次數的0.08178%,而發起間歇性DDoS攻擊韓國的C2主要來自於美國的約60%,其次是韓國本身約30+%,而來自中國和日本的僅佔10%不到;C2位於韓國發起的間歇性DDoS攻擊有3,390,321 次,佔據總攻擊次數的2.670%;C2位於韓國發起的間歇性DDoS攻擊是攻擊目標位於韓國的33倍;C2位於韓國向中國境內發起的間歇性DDoS攻擊是3,100,239 次,佔據C2位於韓國發起的間歇性DDoS攻擊的94.14%,很直白的說明C2位於韓國的botnet主要攻擊對象是中國境內目標;C2位於中國向韓國地域發起的間歇性DDoS攻擊是37,015 次,僅佔據C2位於中國發起攻擊量的0.07638% (37,015/48,461,408)。所以,這個鍋,中國黑客到底背不背呢?You known!I known!
圖 6-2 全球DDoS攻擊威脅情報
7. 總結
無論何情何理,未經授權肆意發起DDoS攻擊都是不可取,通過DDoS攻擊手段進行敲詐勒索更是違法行為!近些年來,大影響DDoS攻擊事件越發頻發,攻擊流量也逐次刷新歷史新高。DDoS botnet的「肉雞」從單一的Windows環境延伸到Linux環境,現在也拓展到了IoT產業;DDoS botnet的控制端同樣也從只兼容單一環境類型的「肉雞」到完善兼容多環境類型的「肉雞」;DDoS botnet的拓展也實現漏洞自動化利用進行「抓雞」,達到了快速部署botnet並成型的效果。這些情況也都說明如今的大部分botnet所掌控的「肉雞」量已經遠遠不止幾千或上萬台,每個botnet擁有的攻擊能力都遠遠超於常人的想像,更何況根據監控到的情報顯示,每次大型的DDoS攻擊事件都是以組合「打怪」模式進行多個botnet組合攻擊。從多維度分析表明,DDoS 攻擊雖然是無害攻擊,但也嚴重威脅了互聯網的正常發展,對抗互聯網的DDoS攻擊,為互聯網安全發展保駕護航的使命仍然任重而道遠!
在此,也提醒廣大互聯網用戶安全、健康上網,文明使用網路,安裝殺毒、防毒軟體並及時修補設備漏洞!
附錄:參考資料
參考鏈接:
http://m.bobao.360.cn/learning/appdetail/4318.html
MD5:
a48478dd55d8b099409bb829fb2b282f
*本文作者:放牛娃,轉載請註明來自 FreeBuf.COM
※什麼才是「年度安全品牌」?| WitAwards 2017年度品牌影響力「報名進行中」
TAG:FreeBuf |