欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

一起涉及多个DDoS僵尸网络样本的攻击事件追踪

来源:本站整理 作者:佚名 时间:2018-05-29 TAG: 我要投稿

一.背景
近期蜜网系统监测到一起涉及利用多个僵尸木马传播进行DDoS攻击的安全事件。木马样本涉及Windows与Linux两个平台,通过对样本的分析,发现这几个样本编写风格都不一样,但是硬编码在程序中的C&C均指向同一个IP地址。推测这一系列木马的传播者通过购买不同的DDoS木马进行传播,从而构建自己的僵尸网络进行DDoS攻击牟利。其中有两个样本所属家族为XorDDoS和ChinaZ。最后通过一系列的分析,将该威胁定性为小黑客组建僵尸网络进行DDoS攻击事件,同时追踪到了恶意代码传播者的个人信息,包括姓名、QQ号码、手机号、邮箱、微信等。
二.相关样本分析
2.1样本一分析:
2.1.1样本基本信息

2.1.2样本行为
该样本首先会执行安装逻辑,包括拷贝自身到Windows目录,然后将自身注册为服务,最后自删除自己,安装完成。接着注册为服务的木马会开始进入功能逻辑,通过爆破局域网来感染传播,与C&C建立通讯后,等待C&C下发指令。

2.1.3样本详细分析
(1)整体逻辑

(2)拷贝到Windows目录
生成6个字符的随机进程名拷贝到Windows目录

(3)创建服务
服务名:Abcdef Hijklmno Qrstuvwx Abcd
服务描述:Abcdefgh Jklmnopqr Tuvwxya Cdefghij Lmn



自启动

(4)自删除
构建“/c del C:\Users\xxx\Desktop\gy.exe > nul”参数,使用ShellExecuteExA创建删除自身的进程。


(5)从资源释放hra33.dll并加载
从资源释放文件在文件头加上PE文件头两个字节“MZ”。


从释放的文件更新当前木马服务中的资源

(6)爆破感染局域网
内置字典

爆破成功后会拷贝自身到admin$\\、C:、D:、E:以及F:等路径下,并创建计划任务,2分钟后执行。

(7)远控功能部分
与C&C建立通讯

解密出C&C地址为web.liancanmou.xyz:6006

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载