欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

ddos攻击病毒样本溯源与研究,一起游戏私服同行间发动的DDoS攻击

来源:本站整理 作者:佚名 时间:2017-09-11 TAG: 我要投稿

上月中下旬样子,腾讯电脑管家反病毒实验研究室发觉到023155.cn(222.186.129.87)正蒙受大批DDoS打击。网安职员经由过程苦心追踪总算捕获到上百个DDoS打击样本,并第一光阴实现全体查杀。风趣的是,提议进击者和被进击者都是游戏私服网站,进击缘故原由未知。下文具体阐发这些进击样本若何提议DDoS进击,并溯源其样本泉源和流传渠道。
一、 样本阐发
母体:6f41f5483da69dd6faf19a58c57d7491
子体:f173f692970a20fa8ca49423d6ad8e89
该起DDoS进击的样本是经由过程一个下载者(母体)下载来的(C&C :ddos.m0427.com-> 103.40.102.87),这里下载的是W4.7.exe样本。经阐发发明,这个样本仅在收到C&C指令后提议DDoS进击,别的光阴不停处于“休眠状态”,并没有别的远控行动。

1. 母体阐发
1) 母体是一个下载者,拷贝本身到体系System32目录下,而后挪用CreateService创立办事,实现开机自启动。

2) 拜访http://103.40.102.87/W4.7.exe下载干活的远控木马,并CreateProcess拉起来。每次都可经由过程云设置装备摆设下载分歧的干活法式。

2. 子体阐发
1) 晋升体系权限和封闭UAC关照


2) 挪用DnsFlushResolverCache消除DNS缓存,包管剖析到最新IP。
3) 在本身前面添补0x2E,使其巨细到达三十多MB,以反抗杀软网络样本云。拷贝本身到C:\WINDOWS\WindowsUpdata\ohumykb.exe,文件名是随机的。而且改动注册表创立开机自启动。

4) 挪用CreateMutexA创立互斥量,包管只有一个实例运转。
5) 衔接C&C 办事器daghfgdgab.lvdp.net ->103.40.102.87。

6) 挪用GetVersionExA、GlobalMemoryStatus获得体系版本信息、内涵信息和CPU信息。挪用send,并经由过程TCP协定把数据传给C&C。

7) C&C前往的指令阐明以下,实现一次DDoS进击的指令次序:3 -> 1->4 ->2。
指令
阐明
1
读 Config.ini 设置进击参数
2
结束加入
3
写 Config.ini 设置装备摆设文件,包含进击目的域名信息
4
提议 DDoS 进击
8) 进击时,结构http包信息,模仿浏览器拜访,防止DDoS进击包被过滤掉。

二、 溯源
从daghfgdgab.lvdp.net域名开端溯源,发明许多私服登岸器,实际上是会释放远控木马,这些私服登岸器经由过程SNS渠道、游戏外挂网站流传。阐发发明,远控木马大部分是gh0st系列和灰鸽子系列,单个样本广度很低,然则样本量许多,大略预算有几百个远控木马,从域名IP和代码特性,能够肯定是统一团伙搞的。
风趣的是被进击的网站也是一家私服网站,进击缘故原由鲜为人知。
1. DDoS进击样本
C&C:103.40.102.87

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载