DDoS攻击组织肉鸡美眉分析

安天实验室ShadowHunter Team
报告下载

首次发布时间:2015113
本版本更新时间:2015116
当前版本:V0.1

文档信息

摘要

本文主要针对一个跨平台DDoS攻击组织“肉鸡美眉”进行了分析,该组织所开发的DDoS工具利用SSH弱密码和服务器漏洞控制了众多Linux肉鸡,经验证,该组织的恶意代码可追溯到2009年。本文主要分析了该工具的控制端、生成器以及WindowsLinux被控端变种,并对这些样本进行了同源分析和网络感染疫情的展示。

关键发现

l   该组织活动至少可以追溯到2009年;

l   两名开发者昵称;

l   可能采用SVN协作方式开发;

l   字符串、调试信息、配置文件的同源分析;

l   Windows版本生成器和Linux版本生成器、控制器;

l  被控端4Windows版本变种,5Linux版本变种。

版权说明

本文版权属于安天实验室所有。本着开放共同进步的原则,允许以非商业用途使用自由转载。转载时需注明文章版权、出处及链接,并保证文章完整性。以商业用途使用本文的,请联系安天实验室另做授权。联系邮箱:resource@antiy.cn

一、        概要

2014年,安天实验室ShadowHunter团队分析发现了一个恶意代码,其创建的系统互斥量的名字为“Chicken_Mutex_MM”,故命名其为“肉鸡美眉”。该样本的主要功能是收集服务器基本信息并进行DDoS攻击。经过关联分析,我们发现其衍生变种还具有跨平台能力,主要包括WindowsLinux系统两个版本,而Windows版本样本最早在200912月就已出现。“肉鸡美眉”开发者采用了SVN协作开发,跨越5年持续演进,随着Linux服务器在国内不断增加且Windows系统受到诸多限制,从事DDoS的黑客也从Windows转向Linux,被攻击的Linux服务器大幅增加。同时由于Linux服务器的带宽优势和长期在线的特点使DDoS攻击的威力更加增强。

该样本的某些变种在之前的报道中也有提及,但是大部分报道只介绍了其中的某个变种,并没有能够全面、深入地讲述该组织的来龙去脉,而本文则将为大家逐一揭晓。

1.1         组织运作概览

“肉鸡美眉”组织截至目前已经持续运作了超过4年的时间,主要进行DDoS工具的开发和销售。据判断,该组织至少有两名开发者,其中开发者“小陈”(昵称)应该是开发主力,在多个版本的变种中均有其昵称出现,而开发者“毛毛”(昵称)应该是副手。软件开发后通过搭建黑客论坛等方式进行地下传播,主要是销售给国内的私服技术维护人员,以及通过DDoS攻击进行敲诈的黑客,同时还有部分破解版本被传播出去。

1肉鸡美眉组织概览

1.2         肉鸡MM演化变种

目前安天实验室截获到的Windows变种主要有4类,分别为ChickenrjshellsvchostIntergrateCHK,通过编译时间我们可以看到样本变种的时间演化关系(参见图2)。从200912月开始出现Windows版本;201210月和201311月的版本在传播上有两个高峰;20134月开始出现Linux版本,并支持32位和64位;在2013年末开始较大范围攻击Linux Linux版本变种主要以端口号区分,包括10771109913600058000以及M4(参见图3)。目前监测到的活跃被控端主要是Linux机器。

2截获变种样本

3变种出现时间

二、        恶意代码分析

2.1         恶意代码组成

2.1.1          生成器

在样本库中检测到该生成器,由于该样本与众不同,通过其界面我们发现是Windows版生成器,生成器的编译时间是20131010 23570秒,默认生成的端口是6009,生成的变种为IntergrateCHK

说明: 说明: C:\Users\cutekxx\AppData\Roaming\Tencent\Users\34766189\QQ\WinTemp\RichOle\C0BCU2$F@B%XHD9S2Y{P3W8.jpg

4 Windows生成器

同样简洁的是Linux生成器,其中生成的Linux变种是UDP洪水DDoS攻击的变种xudp,该变种出现在亚马逊EC2的服务器上,并出现在国内多个Linux系统上。

5 Xudp10991生成器[13]

6 10771生成器

说明: C:\Users\cutekxx\AppData\Roaming\Tencent\Users\34766189\QQ\WinTemp\RichOle\ZX(D4CQ~SXOUORS1S0UXD%O.jpg

7 M4版生成器

2.1.2          控制端

通过控制端我们可以看到监控机器的列表,包含被控端的机器名、操作系统、CPU和网络速度信息。具有半连接、SYN洪水、UDP洪水攻击功能,同时还具有批量伪造功能。

8 M4控制端Manger

2.1.3          被控端

l  Chicken变种

Windows被控端Chicken变种经过自动分析运行后,它将创建Chicken_mutex_mm互斥量,释放c:\mm.ini配置文件,该文件主要用于保存伪造IP和端口的配置文件,获取CPU信息,并发起DNS请求,同时向控制端发送机器相关信息。

9 Chicken变种自动分析

其字符串分析见表1

1变种字符串

字符串

说明

Chicken_Mutex_MM

Chicken_mm互斥量

\Chicken\Release\Chicken.pdb

PDB信息

L:\SVN2\trunk\

PDB路径

HARDWARE\DESCRIPTION\System\CentralProcessor\0

HARDWARE\DESCRIPTION\System\CentralProcessor\%d

获取CPU信息

\Processor(%d)\%% Processor Time

PdhGetFormattedCounterValue

用于查询单个核心CPU使用率

JanFebMarAprMayJunJulAugSepOctNovDec

SunMonTueWedThuFriSat

日期信息

Windows NT

Windows 2000

Windows XP

Windows Server 2003

Windows Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2

Windows 32s

Windows Unknown

系统版本信息匹配

l  IntergrateCHK变种

Windows被控端的IntergrateCHK变种运行后,会释放伪造端口IP的配置文件fake.cfg,Chicken变种释放的伪造配置文件是mm.ini,而两者的内容格式是相同的。

第一行:0 是一个攻击标志位,0表示停止,1表示开始攻击;

第二行:192.168.50.132:192.168.50.132 是局域网伪造包的IP地址范围;

第三行:10000:60000是伪造包端口范围;

说明: C:\Users\cutekxx\AppData\Roaming\Tencent\Users\34766189\QQ\WinTemp\RichOle\1B{]_9M%@3@2D0V5}UQ`V~O.jpg

10 fake.cfg配置信息

11 IntergrateCHK变种自动化分析

l  svchost x64变种

12 Windows 64svchost被控端变种分析

l  Linux版本变种

Linux被控端使用C++编写,具有提取信息上报,并接收指令等待攻击的功能,最新版还有DNS放大攻击的能力,部分Linux的被控端也会释放fake.cfg配置文件。Linux变种被控端样本22D0FA8571E1691CF2FFB1B20C1D536A经过“安天追影自动化分析系统(http://zhuiying.antiy.cn/)”,发现其样本具有获取系统网卡、CPU、内存信息,释放ELF文件以及访问域名zj.passwd1.com,反向连接等操作。

13 Linux自动化分析

14 Linux行为

15域名和进程操作

2.2         恶意代码同源分析

根据字符串、调试信息、配置文件、配置格式、路径等信息,我们可以找到变种样本之间的同源关系,通过这些信息可以将控制端、Windows版本变种以及Linux版本变种关联起来,同时也可以把控制端107711099158000M4以及Windows版被控端、Linux版被控端都关联起来。

16恶意代码同源分析关联图谱

2.3         开发者信息

通过样本中包含的调试信息中的路径“SVN\trunk”,我们可以推测出该DDoS工具的开发者是采用SVN进行共享代码编写的。同时在调试路径中有一些显示乱码,经分析发现是开发者的中文昵称“小陈”,“毛毛”,并且在中文昵称后面有“反向”,“被控”等中文,指明所开发的组件代码是反向连接被控端。

 

17控制端包含pdb

18控制端包含pdb

19控制端包含pdb

20 控制端包含pdb

其中乱码部分采用的是URL编码,经过解码如下:

21 URL编码解码信息

经判断,其主要利用搭建黑客论坛的方式销售攻击软件:

22 销售QQ截图

三、        网络控制和感染情况

攻击者使用的域名和控制IP

fymy.8800.org

kk.netbot.cc   70.39.77.126

yqv.3322.org  115.221.42.158

lindashuaiddos.f3322.org  222.186.52.153

192.161.177.203

98.126.193.143

61.153.104.230

198.148.92.100

111.cf22.com

syn.netbot.cc

DNS jj94.3322.org  42.51.4.216

ttlatale.3322.org 

aaa.swhk.net

75.148my.com

199.36.72.222

四、        总结

随着Linux服务器的占比越来越高,DDoS攻击的肉鸡已经从Windows转向Linux系统,除了用于WebLinux服务器外,包括智能摄像头、NVRLinux系统也逐渐成为攻击目标。

五、        参考资料

[1]      New DDos Malware Targets Linux and Windows Systems

http://www.networkworld.com/article/2172819/smb/new-ddos-malware-targets-Linux-and-Windows-systems.html

[2]      A quick look at a (new?) cross-platform DDoS botnet

http://www.cert.pl/news/7849/langswitch_lang/en

[3]      versatile-ddos-trojan-for-Linux

https://securelist.com/analysis/publications/64361/versatile-ddos-trojan-for-Linux/

[4]      Securelist – Information about Viruses, Hackers and Spam

https://securelist.com/blog/65192/elasticsearch-vuln-abuse-on-amazon-cloud-and-more-for-ddos-and-profit/

[5]      V2EX论坛:服务器被入侵,麻烦高手帮忙分析下

http://www.v2ex.com/t/121336

[6]      内部 OpenStack 云平台被黑

http://longgeek.com/2014/04/08/hacked-internal-openstack-cloud-platform/

[7]      从服务器登录互联网开始,就要注意安全

http://mo2g.com/view/81/

[8]       http://blog.malwaremustdie.org/2013/12/lets-be-more-serious-about-dns-amp-elf.html

[9]      Another look at cross platform DDos

http://sempersecurus.blogspot.com/2013/12/another-look-at-cross-platform-ddos.html

[10]  Linux.BackDoor.Gates.5 — yet another Linux Trojan

http://news.drweb.com/?i=5801&c=5&lng=en&p=0

[11]  APPSTARUnix.Trojan.Elknot 病毒处理手记

http://bbs.appstar.com.cn/thread-10205-1-1.html

[12]  Some tools to monitor BillGates CnC servers

https://github.com/ValdikSS/billgates-botnet-tracker

[13]  百度贴吧:谁来帮忙看看是不是被黑了?

http://tieba.baidu.com/p/2817141932

[14]  Linuxsfewfesfs病毒删除记

http://blog.csdn.net/aaqqxx1910/article/details/410102792014.11.11

[15]  V2EX论坛:站点密码被暴力破解留下了操作记录,有几个命令不是太理解

http://www.v2ex.com/t/119848

 

附录一:关于安天

安天是专业的下一代安全检测引擎研发企业,安天的检测引擎为网络安全产品和移动设备提供病毒和各种恶意代码的检测能力,并被超过十家以上的著名安全厂商所采用,全球有数万台防火墙和数千万部手机的安全软件内置有安天的引擎。安天获得了2013年度AV-TEST年度移动设备最佳保护奖。依托引擎、沙箱和后台体系的能力,安天进一步为行业企业提供有自身特色的基于流量的反APT解决方案。

关于反病毒引擎更多信息请访问:

http://www.antiy.com(中文)

http://www.antiy.net(英文)

关于安天反APT相关产品更多信息请访问:

http://www.antiy.cn

 

 

分享此报告二维码:


分享此内容到: