「暗黑流量」超大規模DDoS溯源分析

更多騰訊海量技術文章，請關注云加社區：https://cloud.tencent.com/developer

作者：雲鼎實驗室

一、背景

近日，騰訊雲鼎實驗室的合作夥伴Panabit於2017年5月26日19點開始，監測到一次大面積網路攻擊活動，本次活動呈現的最明顯特點是參與攻擊的源地址覆蓋度超級廣泛，幾乎在全國所有省市運營商的骨幹網路上均有明顯活動。據Panabit公司的統計，在線內網攻擊地址數百萬左右。

據監測，目前攻擊呈現出三個階段：

5月26日19點全國大量真實IP地址開始攻擊地址183.60.111.150，一直持續到至28日凌晨3點結束；

5月28日早晨7點左右開始攻擊地址59.153.75.7，

6月9日攻擊呈現多樣化。

經過對攻擊源機器進行分析，騰訊云云鼎實驗室工程師在機器中發現暗雲Ⅲ的變種（暫時命名為暗雲Ⅳ），通過對流量、內存DUMP數據等內容進行分析，基本確定本次超大規模ddos攻擊由「暗雲」黑客團伙發起。

二、詳細分析

「暗雲」是一個迄今為止最複雜的木馬之一，全網普查顯示，感染了數以百萬的計算機，暗雲木馬使用了很多複雜的、新穎的技術來實現長期地潛伏在用戶的計算機系統中，關於暗雲的分析詳見http://slab.qq.com/news/tech/1567.html

我們在對目標機器排查中，發現了MBR中可疑rootkit，在對MBR內容進行分析，我們發現肉雞機器的MBR與暗雲MBR 中INfectedMBR 與 original MBR的相對位置相同，而且病毒均存儲在3-63 的60個扇區中。

與此同時我們在對另外一台機器進行分析的時候，在MBR內容里發現ms.maimai666.com域名內容，機器啟動時候會訪問23.234.4.130的8064埠，這與騰訊電腦管家關於分暗雲Ⅲ的木馬在TDI層用udp連接訪問**.maimai666.com的8064埠獲取shellcode」的行為相符。進一步通過獲取到肉雞機器的流量信息，我們發現機器每隔5分鐘會去訪問www.acsewle.com:8877/ds/kn.html;

通過對該域名進行訪問可以發現配置信息，並且存在一個db文件的下載鏈接。

基於域名的訪問對機器的流量抓包，發現發起請求的進程為svchost.exe進程，並且確認父進程為spoolsv.exe。

進一步捕獲svchost.exe的內存數據進行分析，也發現了相關域名的請求信息。

暗雲木馬集成了Lua引擎，自身相當於一個下載者，通過對www.acsewle.com:8877/ds/kn.html 訪問下載http://www.acsewle.com:8877/ds/lcdn.db進行解析執行，實行具體的攻擊行為。

通過對lcdn.db進行解密，可以發現明顯的DDoS攻擊功能。

暗雲木馬的發現和清理將進一步凈化網路環境，騰訊安全團隊將持續為國內互聯網基礎設施安全保駕護航。騰訊雲主機安全應用——雲鏡系統和騰訊電腦管家已經可以在伺服器和用戶個人終端實現對該木馬全面查殺。

三、相關樣本及域名

相關惡意域名如下，廠商可在網關設備上進行攔截。

107190.maimai666.com

214503.maimai666.com

maimai666.com

q.maimai666.com

四、參考鏈接

「暗雲」BootKit木馬詳細技術分析 http://www.freebuf.com/vuls/57868.html

暗雲ⅡBootKit木馬分析 http://www.freebuf.com/articles/system/109096.html

暗雲Ⅲ BootKit 木馬分析 http://tav.qq.com/index/newsDetail/265.html

暗雲Ⅲ木馬專殺工具http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/anyun3_killer.exe

五、致謝

本次事件響應中得到各合作夥伴的大力支持，特別感謝，排名不分先後：

重慶巴南區網信辦

烽火台威脅情報聯盟

Panabit

立普威陸（重慶）科技有限公司

哈工大網路安全響應組

其他不願意透漏名字的安全夥伴

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！