subscribe病毒讲解:Nitol家族韩国僵尸网络变种分析及其威胁情报
subscribe病毒讲解:Nitol家族韩国僵尸网络变种分析及其威胁情报59KB样本大小Trojan[DDoS]/Win32.Nitol.C样本MD5a48478dd55d8b099409bb829fb2b282f
安天-捕风
1. 介绍
对Trojan[DDoS]/Win32.Nitol.C(下简称:Nitol.C)有所了解的反病毒研究人员或许都知道,Nitol最先是由鬼影工作室开发并通过某渠道将源码对外公开,致使网络上出现多种不同协议的Trojan[DDoS]/Win32.Nitol(下简称:Nitol)版本,所以国内又称“鬼影DDoS”。Nitol 家族是目前活跃在Windows环境下的主要botnet之一。大多数Nitol家族的衍生版本都有一个比较显著的特点是使用了lpk.dll劫持,通过lpk.dll劫持实现将样本在受害设备上进行多磁盘横向备份感染,达到了长期潜伏于受害系统并远程操纵攻击的目的。Nitol“狼藉”江湖多年,发展至今已经有8 不同协议的衍生版本,且据监控到的威胁情报显示,这些Nitol家族组成的botnet每天都会对互联网上的某个目标发起攻击,严重威胁互联网的安全!这里主要讲的是Nitol家族的Nitol.C衍生版本(见图1-1 生成器界面),一个Nitol家族衍生版本的韩国僵尸网络及其威胁情报。
病毒名称
Trojan[DDoS]/Win32.Nitol.C
样本MD5
a48478dd55d8b099409bb829fb2b282f
样本大小
59KB
样本格式
Exe
3. 传播方式
从目前监控到的威胁情报看,Nitol.C的传播和感染方式主要有两个:
-
通过自动化批量IP网段漏洞利用,植入被控端木马。2017年上半年黑产最为流行的Windows自动化利用工具是"永恒之蓝"和st2,其中Nitol.C也存在使用这种自动化“抓鸡”方式进行部署botnet。
-
通过已有的botnet进行交叉感染。在已经部署的其他botnet上,通过批量执行远程下载命令(见图3-1 批量执行远程执行指令)进行快速植入韩版挂马站点webshare(见图3-2 webshare 挂马站点)的Nitol.C被控端木马。
图3-1 批量执行远程执行指令
图3-2 webshare 挂马站点
安天-捕风在自动化监控Nitol.C系列botnet时,也捕获到近百个上述类似的webshare挂马站点,见图3-2捕获的webshare站点:
图3-3 捕获的webshare站点
4. 样本详细分析
从图1-1 获得的情报看(控制端-生成器界面、生成被控端的默认文件名称为“鬼影”拼音首写字母,且和“国产”版Nitol的重合),该家族确为Nitol家族的衍生版 。但是Nitol.C并没有真正的继承Nitol家族的所有攻击模式,只具备syn flood、tcp flood、http flood三大攻击向量。
1)样本备份和实现自启动功能。
见图4-1 样本备份。木马运行时首先验证注册表项的互斥量值“Serpiei”存在与否来鉴定自己是否第一次运行,如果第一次运行,木马会进行备份并根据设置决定是否实现自启动功能。
图4-1 样本备份
2) C2配置解密。
通过读取存放.data区段的全局变量得到C2密文,进行base64 凯撒 异或三重解密获取真实的C2。见图4-2C2配置解密:
图4-2 C2配置解密
3) 与C2建立通信连接,获取系统配置信息,向C2发送首包。见图4-3 与C2建立通信:
图4-3 与C2建立通信
4) 等待接收并执行C2远程指令。Nitol.C被控端主要实现的是互斥量释放、cmd shell、样本下载、DDoS攻击4种远程指令,其中主要执行的还是DDoS攻击。见表4-1 远程指令类型:
表4-1 远程指令类型
|
名称 |
偏移 |
协议值 |
备注 |
|
样本下载 |
0x0000-0x0004 |
0x10 |
|
|
互斥量释放 |
0x0000-0x0004 |
0x12、0x06 |
|
|
Cmd shell |
0x0000-0x0004 |
0x14 |
|
|
DDoS 攻击 |
0x0000-0x0004 |
0x02、0x03、0x04 |
主要实现3大攻击向量: 0x02==>tcp flood 0x03==>http flood 0x04==>syn flood |
5.电信云堤“肉鸡”情报反馈
据电信云堤可靠数据反馈,Nitol.C系列的botnets中有大量“肉鸡”潜伏在中国境内,而目前了解这些“肉鸡”的来源主要有2个:
-
通过地下网络黑产进行“肉鸡”收购。
-
通过漏洞利用工具进行批量抓鸡。也说明国内很多设备疏于维护,漏洞未能及时修补。
6.安天-捕风攻击情报
Nitol.C系列样本,安天-捕风在2017年6月初开始分类检出并进行自动化监控。监控Nitol.C系列的攻击情报结果显示,截至2017年9月12日Nitol.C的主要C2基本部署于韩国(占95.7%),共发起间歇性DDoS攻击1 249次,制造298起DDoS攻击事件,而主要攻击目标也基本分布于韩国(占93.86%),攻击类型主要使用syn flood(占98.68%)攻击模式,其主要攻击事件的时间集中于2017年6月19日——2017年7月3日之间。见图6-1- Nitol.C攻击时间分布:
图6-1 Nitol.C攻击时间分布
表5-1攻击情报,是最新Nitol.C的前20 DDoS攻击情报。
表5-1攻击情报
|
攻击目标 |
攻击类型 |
攻击目标地域 |
攻击开始时间 |
攻击者地域 |
备注 |
|
182.212.47.244 |
syn flood |
韩国 |
2017-09-10 19:58:14 |
韩国 | |
|
116.40.152.152 |
syn flood |
韩国 |
2017-09-09 15:43:36 |
韩国 | |
|
49.163.23.181 |
syn flood |
韩国 |
2017-09-08 22:14:38 |
韩国 | |
|
221.140.27.229 |
syn flood |
韩国 |
2017-09-04 18:52:15 |
韩国 | |
|
211.215.157.93 |
syn flood |
韩国 |
2017-09-03 20:12:35 |
韩国 | |
|
114.200.68.5 |
syn flood |
韩国 |
2017-09-03 01:28:08 |
韩国 | |
|
118.220.182.136 |
syn flood |
韩国 |
2017-09-01 18:55:34 |
韩国 | |
|
218.39.179.123 |
syn flood |
韩国 |
2017-09-02 11:11:13 |
韩国 | |
|
112.167.225.197 |
syn flood |
韩国 |
2017-09-01 20:05:49 |
韩国 | |
|
175.113.66.108 |
syn flood |
韩国 |
2017-09-01 20:05:14 |
韩国 | |
|
183.102.11.172 |
syn flood |
韩国 |
2017-08-29 16:30:50 |
韩国 | |
|
182.226.0.191 |
syn flood |
韩国 |
2017-08-27 15:25:14 |
韩国 | |
|
103.23.4.115 |
syn flood |
日本 |
2017-08-26 22:06:29 |
韩国 | |
|
59.14.20.109 |
syn flood |
韩国 |
2017-08-26 21:38:31 |
韩国 | |
|
49.142.213.168 |
syn flood |
韩国 |
2017-08-26 15:34:56 |
韩国 | |
|
120.50.134.85 |
syn flood |
韩国 |
2017-08-26 15:32:09 |
韩国 | |
|
14.46.109.30 |
syn flood |
韩国 |
2017-08-26 14:59:13 |
韩国 | |
|
222.122.48.49 |
syn flood |
韩国 |
2017-08-26 01:05:30 |
韩国 | |
|
175.212.35.110 |
syn flood |
韩国 |
2017-08-20 19:22:40 |
韩国 | |
|
125.180.190.31 |
syn flood |
韩国 |
2017-08-22 20:51:57 |
韩国 |
近日,有媒体再次炒作因为某问题,韩国多个政府部门遭到来自中国的DDoS攻击。对此不禁要问:通过攻击流量的来源就可以鉴定真正的攻击幕后了吗?DDoS 攻击中“肉鸡”也是其中的受害者,要鉴定真正的DDoS攻击幕后不是依据攻击流量的来源,而是依据控制整个botnet的C2的操纵者。根据监控到的攻击威胁情报显示,自2017年1月1日至2017年9月12日,(监控到的)全球共发生125 604 685次间歇性DDoS攻击(见图 6-2全球DDoS攻击威胁情报),攻击目标是韩国的有102 730次,仅占据总攻击次数的0.08178%,而发起间歇性DDoS攻击韩国的C2主要来自于美国的约60%,其次是韩国本身约30 %,而来自中国和日本的仅占10%不到;C2位于韩国发起的间歇性DDoS攻击有3 390 321次,占据总攻击次数的2.670%;C2位于韩国发起的间歇性DDoS攻击是攻击目标位于韩国的33倍;C2位于韩国向中国境内发起的间歇性DDoS攻击是3 100 239次,占据C2位于韩国发起的间歇性DDoS攻击的94.14%,很直白的说明C2位于韩国的botnet主要攻击对象是中国境内目标;C2位于中国向韩国地域发起的间歇性DDoS攻击是37 015次,仅占据C2位于中国发起攻击量的0.07638% (37 015/48 461 408)。所以,这个锅,中国黑客到底背不背呢?You known!I known!
图 6-2 全球DDoS攻击威胁情报
7.总结
无论何情何理,未经授权肆意发起DDoS攻击都是不可取,通过DDoS攻击手段进行敲诈勒索更是违法行为!近些年来,大影响DDoS攻击事件越发频发,攻击流量也逐次刷新历史新高。DDoS botnet的“肉鸡”从单一的Windows环境延伸到Linux环境,现在也拓展到了IoT产业;DDoS botnet的控制端同样也从只兼容单一环境类型的“肉鸡”到完善兼容多环境类型的“肉鸡”;DDoS botnet的拓展也实现漏洞自动化利用进行“抓鸡”,达到了快速部署botnet并成型的效果。这些情况也都说明如今的大部分botnet所掌控的“肉鸡”量已经远远不止几千或上万台,每个botnet拥有的攻击能力都远远超于常人的想象,更何况根据监控到的情报显示,每次大型的DDoS攻击事件都是以组合“打怪”模式进行多个botnet组合攻击。从多维度分析表明,DDoS 攻击虽然是无害攻击,但也严重威胁了互联网的正常发展,对抗互联网的DDoS攻击,为互联网安全发展保驾护航的使命仍然任重而道远!
在此,也提醒广大互联网用户安全、健康上网,文明使用网络,安装杀毒、防毒软件并及时修补设备漏洞!
附录:参考资料
参考链接:
[1] http://m.bobao.360.cn/learning/appdetail/4318.html
MD5:
a48478dd55d8b099409bb829fb2b282f
