DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

一起涉及多个DDoS僵尸网络样本的攻击事件追踪

09-17 DDOS防御

一.背景
近期蜜网系统监测到一起涉及利用多个僵尸木马传播进行DDoS攻击的安全事件。木马样本涉及Windows与Linux两个平台,通过对样本的分析,发现这几个样本编写风格都不一样,但是硬编码在程序中的C&C均指向同一个IP地址。推测这一系列木马的传播者通过购买不同的DDoS木马进行传播,从而构建自己的僵尸网络进行DDoS攻击牟利。其中有两个样本所属家族为XorDDoS和ChinaZ。最后通过一系列的分析,将该威胁定性为小黑客组建僵尸网络进行DDoS攻击事件,同时追踪到了恶意代码传播者的个人信息,包括姓名、QQ号码、手机号、邮箱、微信等。
二.相关样本分析
2.1样本一分析:
2.1.1样本基本信息

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


2.1.2样本行为
该样本首先会执行安装逻辑,包括拷贝自身到Windows目录,然后将自身注册为服务,最后自删除自己,安装完成。接着注册为服务的木马会开始进入功能逻辑,通过爆破局域网来感染传播,与C&C建立通讯后,等待C&C下发指令。

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


2.1.3样本详细分析
(1)整体逻辑

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


(2)拷贝到Windows目录
生成6个字符的随机进程名拷贝到Windows目录

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


(3)创建服务
服务名:Abcdef Hijklmno Qrstuvwx Abcd
服务描述:Abcdefgh Jklmnopqr Tuvwxya Cdefghij Lmn

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


一起涉及多个DDoS僵尸网络样本的攻击事件追踪


一起涉及多个DDoS僵尸网络样本的攻击事件追踪


自启动

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


(4)自删除
构建“/c del C:\Users\xxx\Desktop\gy.exe > nul”参数,使用ShellExecuteExA创建删除自身的进程。

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


一起涉及多个DDoS僵尸网络样本的攻击事件追踪


(5)从资源释放hra33.dll并加载
从资源释放文件在文件头加上PE文件头两个字节“MZ”。

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


一起涉及多个DDoS僵尸网络样本的攻击事件追踪


从释放的文件更新当前木马服务中的资源

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


(6)爆破感染局域网
内置字典

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


爆破成功后会拷贝自身到admin$\\、C:、D:、E:以及F:等路径下,并创建计划任务,2分钟后执行。

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


(7)远控功能部分
与C&C建立通讯

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


解密出C&C地址为web.liancanmou.xyz:6006

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com//ddos1/11.html

DDOS防御

ddos防御

cc防护

web安全

高防服务器

高防cdn


QQ客服

400-0797-119

X