欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

管中窥豹---分析一个只抓中国肉鸡的DDOS团伙

来源:本站整理 作者:佚名 时间:2015-06-17 TAG: 我要投稿

最近,我们的研究人员发现了一个非常奇怪的exploit kit正在攻击中国的域名。在上一篇文章中,我们详细地讨论了这个exploit kit的运作方式,包括其感染途径,payload可执行文件,以及这个攻击工具采用了哪些手段来绕过奇虎360的检测。
在这篇文章中,我们会讨论这个exploit kit的木马。在VirusTotal 上,有很多关于这个木马的查杀记录。我们的研究员把这个木马命名为 “Trojan.Chinad” 或"Chinad"。
Chinad的木马文件:
notepad.exe (MD5:5a454c795eccf94bf6213fcc4ee65e6d)
pic.jpg (MD5:4e8639378d7a302c7474b5e4406dd7b4 )
image.png (MD5:55c447191d9566c7442e25c4caf0d2fe )
5003.tmp (MD5:d6ce4b6db8407ca80193ede96d812bb7 ) – 真实名称, “Module_UacBypass.dll”
Notepad.exe (Chinad)
摘要
Notepad.exe ("Chinad") 是一个bot客户端。 这个二进制文件和image.png是 Chinad 木马的两个主要组成部分。
Chinad bot首先会请求远程服务器,然后根据接收到的命令在受害者的计算机上执行任务。虽然这个bot的主要目的是DDoS攻击,但是bot也能向自身注入任意shellcode。
Chinad木马的植入方式:CVE-2014-6332利用成功以后用FTP下载的方式植入
技术分析
可执行文件使用了UPX壳来减小体积,以便提升网络传输的效率。

UPX压缩的是一个纯净的Microsoft Visual C++可执行程序。

Chinad 首先会创建一个硬编码名称为"Global\3672a9586a5f342b2ca070851e425db6″的互斥量。接着,如果木马发现用户具有管理员权限,木马就会复制到System文件夹;否则,木马就复制到Appdata文件夹:
%windir%\System\Init\wininit.exe ("C:\Windows" being a typical value for %windir%) %appdata%\Microsoft\System\wininit.exe ("C:\Users\\Roaming" being a typical value for %appdata%)
木马的维持方法:注册表启动项或者schtask.exe .比如:

C:\Windows\system32\schtasks.exe /create /F /sc onstart /tn Microsoft\Windows\Shell\Init /tr \C:\Windows\System\Init\wininit.exe\ /ru system
通过这样的操作,Chinad就能以系统权限启动,并且获取到系统的最高权限。
在与木马服务器通信之前,Chinad首先会通过联系 www.baidu.com来测试网络连接是否畅通。

如果没有网络连接,Chinad就会进入休眠模式;否则,木马就会继续从服务器上获取命令。
接收命令 木马通过获取远程服务器 (默认的硬编码 IP 地址) 上的"bootstrap.min.css"文件,来获取需要执行的命令。下图中就是一个请求。

但是,在Chinad 读取命令之前,Chinad首先需要解密从CC上取得的文件。这个文件的加密算法是Salsa20.你可以通过反编译工具的字符串参考搜索”expand 32-byte k”来识别这个算法.

Chinad 可以接受的命令包括:
update -存储当前的cnc到一个加密文件,并报告给服务器。然后,下载并执行最新版的木马,接着删除旧版木马。 syntax:,,
,
,
;
cnc - 指定cnc服务器的位置,木马会联系这个服务器来获取命令 syntax:,;
cnc_reset - 重置CNC服务器地址为默认值. syntax:;
report - 指定报告服务器的地址. syntax:,;
report_reset - 重置报告服务器的地址为默认值. syntax:;
attack - 利用生成的数据,通过TCP或UDP socket来攻击目标IP. syntax:,,,,,;
attack_reset - 重置攻击目标的地址syntax:;
url_exec - 从指定的URL上下载文件,并使用WinExec来执行这个文件 ssyntax:,,
;shellcode_exec - 创建一个挂起进程,并把shellcode注入到这个进程然后,恢复进程。ssyntax:,;
通常情况下, Chinad从C2服务器上获取到的第一条命令是 “update”。这个命令中包含一个URL, Chinad会从这个URL上下载最新的木马二进制文件。在这个例子中,下载到的是image.png,一个更强大的bot版本。
木马使用了分号来分割每条命令,诸如C语言等现代的编程语言都使用了这种语法。这样就能在同一时间发出多条命令。比如接下来发出的命令“attack_reset”。下面就是一个完整的命令:
timestamp,1431270567; update,http:///image.png?13572v44,44,1,5b7e022f5009004985b34cf091d06752c765a25b445a46050eef51a17be8267d; attack_reset;
关键字“timestamp”实际上并不是一个命令。但是在这个关键字中的一个值是一个十进制格式的FILETIME结构,这个值对应着系统时间。这样的话,木马就只能在攻击者规定的时间中执行命令,并且攻击者也能控制木马的生命周期。
在接收到update命令后,Chinad 首先会把当前的配置信息储存到一个使用Salsa20加密的文件中,然后才会更新木马。如果用户具有管理员权限,这个文件会存储在:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载