DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

一起涉及多个DDoS僵尸网络样本的攻击事件追踪

09-17 DDOS防御

一.背景
近期蜜网系统监测到一起涉及利用多个僵尸木马传播进行DDoS攻击的安全事件。木马样本涉及Windows与Linux两个平台,通过对样本的分析,发现这几个样本编写风格都不一样,但是硬编码在程序中的C&C均指向同一个IP地址。推测这一系列木马的传播者通过购买不同的DDoS木马进行传播,从而构建自己的僵尸网络进行DDoS攻击牟利。其中有两个样本所属家族为XorDDoS和ChinaZ。最后通过一系列的分析,将该威胁定性为小黑客组建僵尸网络进行DDoS攻击事件,同时追踪到了恶意代码传播者的个人信息,包括姓名、QQ号码、手机号、邮箱、微信等。
二.相关样本分析
2.1样本一分析:
2.1.1样本基本信息

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


2.1.2样本行为
该样本首先会执行安装逻辑,包括拷贝自身到Windows目录,然后将自身注册为服务,最后自删除自己,安装完成。接着注册为服务的木马会开始进入功能逻辑,通过爆破局域网来感染传播,与C&C建立通讯后,等待C&C下发指令。

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


2.1.3样本详细分析
(1)整体逻辑

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


(2)拷贝到Windows目录
生成6个字符的随机进程名拷贝到Windows目录

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


(3)创建服务
服务名:Abcdef Hijklmno Qrstuvwx Abcd
服务描述:Abcdefgh Jklmnopqr Tuvwxya Cdefghij Lmn

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


一起涉及多个DDoS僵尸网络样本的攻击事件追踪


一起涉及多个DDoS僵尸网络样本的攻击事件追踪


自启动

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


(4)自删除
构建“/c del C:\Users\xxx\Desktop\gy.exe > nul”参数,使用ShellExecuteExA创建删除自身的进程。

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


一起涉及多个DDoS僵尸网络样本的攻击事件追踪


(5)从资源释放hra33.dll并加载
从资源释放文件在文件头加上PE文件头两个字节“MZ”。

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


一起涉及多个DDoS僵尸网络样本的攻击事件追踪


从释放的文件更新当前木马服务中的资源

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


(6)爆破感染局域网
内置字典

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


爆破成功后会拷贝自身到admin$\\、C:、D:、E:以及F:等路径下,并创建计划任务,2分钟后执行。

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


(7)远控功能部分
与C&C建立通讯

一起涉及多个DDoS僵尸网络样本的攻击事件追踪


解密出C&C地址为web.liancanmou.xyz:6006

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://sskjddosgb11.ddosgb.com//ddos1/11.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 698415访问次数
  • 建站天数
  • 友情链接

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X