欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Nitol家族韩国ddos僵尸网络变种研究及其威胁报告

来源:本站整理 作者:佚名 时间:2017-09-18 TAG: 我要投稿

1. 先容
对Trojan[DDoS]/Win32.Nitol.C(下简称:Nitol.C)有所懂得的反病毒研究人员或者都晓得,Nitol开始是由鬼影工作室开辟并经由过程某渠道将源码对外公开,以致网络上呈现多种分歧协定的Trojan[DDoS]/Win32.Nitol(下简称:Nitol)版本,以是海内又称“鬼影DDoS”。Nitol 家属是今朝活泼在Windows环境下的重要botnet之一。
大多数Nitol家属的衍生版本都有一个比拟明显的特色是应用了lpk.dll挟制,经由过程lpk.dll挟制完成将样本在受益装备上停止多磁盘横向备份沾染,达到了历久埋伏于受益体系并长途把持入侵攻击的目标。Nitol“散乱”江湖多年,成长至今曾经有8+分歧协定的衍生版本,且据监控到的威逼谍报表现,这些Nitol家属构成的botnet天天都会对互联网上的某个目标提议入侵攻击,重大威逼互联网的网安!这里重要讲的是Nitol家属的Nitol.C衍生版本(见图1-1 天生器界面),一个Nitol家属衍生版本的韩国僵尸网络及其威逼谍报。

图1-1 天生器界面
2. 根本信息
表1-1 样本根本信息
病毒称号
Trojan[DDoS]/Win32.Nitol.C
样本MD5
a48478dd55d8b099409bb829fb2b282f
样本巨细
59KB
样本格局
Exe
3. 流传方法
从今朝监控到的威逼谍报看,Nitol.C的流传和沾染方法重要有两个:
1、经由过程自动化批量IP网段破绽漏洞bug应用,植入被控端木马。2017年上半年黑产最为流行的Windows自动化应用对象是”永久之蓝”和st2,此中Nitol.C也存在应用这类自动化“抓鸡”方法停止安排botnet。
2、经由过程已有的botnet停止穿插沾染。在曾经安排的其余botnet上,经由过程批量履行长途下载敕令(见图3-1 批量履行长途履行指令)停止疾速植入韩版挂马站点webshare(见图3-2 webshare 挂马站点)的Nitol.C被控端木马。

图3-1 批量履行长途履行指令

图3-2 webshare 挂马站点
安天-捕风在自动化监控Nitol.C系列botnet时,也捕捉到近百个上述类似的webshare挂马站点,见图3-2 捕捉的webshare站点:

图3-3 捕捉的webshare站点
4. 样本具体阐发
从图1-1 获得的谍报看(节制端-天生器界面、天生被控端的默许文件称号为“鬼影”拼音首写字母,且和“国产”版Nitol的重合),该家属确为Nitol家属的衍生版 。然则Nitol.C并无真正的承继Nitol家属的一切入侵攻击形式,只具有syn flood、tcp flood、http flood三大入侵攻击向量。
1)样本备份和完成自启动功效。
见图4-1 样本备份。木马运转时起首验证注册表项的互斥量值“Serpiei”存在与否来判定本身能否第一次运转,假如第一次运转,木马会停止备份并根据设置决议能否完成自启动功效。

图4-1 样本备份
2)C2设置装备摆设解密。
经由过程读取寄存.data区段的全局变量获得C2密文,停止base64+凯撒+异或三重解密获得实在的C2。见图4-2 C2设置装备摆设解密:

图4-2 C2设置装备摆设解密
3)与C2树立通讯衔接,获得体系设置装备摆设信息,向C2发送首包。见图4-3 与C2树立通讯:

图4-3 与C2树立通讯
4)期待接管并履行C2长途指令。Nitol.C被控端重要完成的是互斥量开释、cmd shell、样本下载、DDoS入侵攻击4种长途指令,此中重要履行的照样DDoS入侵攻击。见表4-1 长途指令范例:
表4-1 长途指令范例
称号
偏移
协定值
备注
样本下载
0×0000-0×0004
0×10
互斥量开释
0×0000-0×0004
0×12、0×06
Cmd shell
0×0000-0×0004
0×14
DDoS

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载