安天针对“魔鼬”木马DDoS事件分析报告

安天安全研究与应急处理中心(Antiy CERT)

 

 

 

初稿完成时间:2017年08月02日 01时34分

首次发布时间:2017年08月02日 01时34分

本版更新时间:2017年08月02日16时30分



PDF报告下载

1          概述

2017年7月30日,安天安全研究与应急处理中心(Antiy CERT)的工程师发现一种具备拒绝服务(DDoS)攻击能力的新型木马。经初步分析,安天CERT工程师认为该木马属于一个新家族,并将其命名为“魔鼬”。通过关联查询安天对于DDoS攻击的历史监测数据,发现本次事件中受攻击的域名同时也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻击。

 

2          受攻击目标

通过样本分析,发现被攻击域名或IP多为操作系统下载站点,受攻击的域名/IP和对应的网站名如表2-1所示。

2 1 受攻击的域名/IP对应的网站

域名/IP

网站名

win7.bdxsa.com

系统之家

www.swerrt.cn

系统之家

x1.xy1758.com

 

www.xiaomaxitong.cn

小马一件重装系统

win7.hangzhouhongcaib.cn

win.geelai.cn

系统下载

xz.xamy119.com

小猪一件重装系统

xm.0537yiyao.com

小马一件重装系统

blog.xy1758.com

win7.yahung5.com

系统之家

win7.shangshai-qibao.cn

系统下载

183.134.16.11

 

43.230.72.134

 

14.152.83.24

 

通过电信云堤的协助分析,我们在部分网络出口提取攻击数据,部分域名访问量抽样统计如下:

 

图2-1对www.swerrt.cn域名的访问量

图2-2对win7.bdxsa.com域名的访问量

在运营商的大部分骨干网设备都可以观察到攻击流量和C2心跳,具体感染数量有待进一步核查。

3          事件样本分析

样本的编译时间为2017-07-01 21:22:54(时间戳 5957A22E),根据前面的攻击事件发现时间,初步认为该时间是未经过篡改的,可见该木马家族的出现时间仅有短短的1个月。

3 1 样本时间戳

样本的运行流程和主要行为如下:

1.         创建互斥量保证唯一实例运行。

3 2 创建互斥量

2.         加载资源数据,读取指定偏移的内容作为C2地址(www.linux288.com)。

3 3 加载资源数据

3.         连接C2服务器,发送本机系统信息(包括主机名、CPU、内存、系统版本等),接收C2返回的攻击目标列表。

3 4 接受服务器返回数据

4. 在分析中我们发现,C2返回的攻击目标列表数据每隔一段时间会发生变化,从而控制受害主机向不同的IP或域名发动攻击。

3 5 服务器返回不同的待攻击任务列表

5.         接收到数据后,样本根据指定的格式解析攻击列表数据(link_listtask_list)。

3 6 解析数据包内容

6.        样本根据task_list地址和配置,创建大量线程,向目标地址发起DDoS攻击。

3 7 发起DDoS攻击

 

7. 在分析样本的同时,我们人工提交至安天追影高级威胁检测系统,系统通过智能动态行鉴定器检测出样本主要的恶意行为和网络请求并判定为木马程序,检出报告如下图:

3 8 安天追影高级威胁检测系统分析报告发起

4 相关事件关联

对本次事件中的被攻击域名进行关联查询,发现部分域名在相近时间也遭受了其他组织的DDoS攻击,详细信息如下:

4 1 关联查询结果

受害者

攻击开始时间

攻击结束时间

攻击者

攻击者地域

攻击

类型

攻击次数

攻击家族

www.swerrt.cn

win7.bdxsa.com

win7.hangzhouhongcaib.cn

对应

122.228.91.13

2017714

2017731

*.*.77.34

*.*.203.131

*.*.116.96

sosy.*.pw

 

美国洛杉矶

syn flood

8226

Trojan/Linux.BillGates

win7.hangzhouhongcaib.cn

对应

58.51.171.253

2017729

2017730

*.*.203.131

*.*.116.96

sosy.*.pw

network.*.net

美国洛杉矶

syn flood

212

Trojan/Linux.BillGates

www.xiaomaxitong.cn

对应

104.31.184.2

104.31.185.2

2017726

2017729

*.*.203.131

*.*.116.96

sosy.*.pw

network.*.net

 

美国洛杉矶

syn flood

320

Trojan/Linux.BillGates

x1.xy1758.com

对应

58.222.43.221

122.228.91.14

2017729

 

2017731

*.*.203.131

*.*.116.96

sosy.*.pw

network.*.net

美国洛杉矶

syn flood

2525

Trojan/Linux.BillGates

xz.xamy119.com

对应

104.31.192.2

104.31.193.2

2017726

2017726

*.*.203.131

*.*.116.96

sosy.*.pw

美国洛杉矶

syn flood

314

Trojan/Linux.BillGates

xm.0537yiyao.com

对应

104.18.32.54

104.18.33.54

2017719

2017725

*.*.77.34

*.*.77.51

hadess520.*.net

美国洛杉矶

syn flood

31

Trojan/Linux.BillGates

blog.xy1758.com

对应

27.148.147.10

27.155.87.165

2017311

2017728

*.*.50.12

*.*.77.34

*.*.203.131

*.*.183.5

*.*.238.54

*.*.125.187

*.*.191.52

*.*.173.148

*.*.5.113

*.*.116.96

*.*.54.93

*.*.105.144

sosy.*.pw

hades2624.*.net

network.*.net

美国、中国

syn floodtcp flood

2018

Trojan/Linux.BillGates

Trojan/Linux.Mayday

部分域名受攻击的数据如下所示:

4 1 域名win7.hangzhouhongcaib.cn的攻击数据

4 2 域名www.xiaomaxitong.cn的攻击数据

4 3 域名x1.xy1758.com的攻击数据

 

5 总结

经过分析和关联查询,发现在相近时间内多个组织对相同目标发起DDoS攻击。从目前掌握的资料来看,本次DDoS事件的攻击强度足以瘫痪一般的网站,但是部分受攻击网站采用了CDN服务,因此没有受到严重影响。该木马家族出现时间仅有短短的1个月,却发现较多起由该家族发起的DDoS攻击事件,说明木马传播速度较快,需要引起重视。

对于本次事件,安天建议用户尽快排查自身网络内是否有C2地址及被攻击目标地址的访问,并对可疑终端进行检测与排查,一旦发现有终端主机对上述地址有大量请求、连接极有可能已感染该木马程序。请您联系安天寻求专业帮助,400-840-9234。

安天再次提醒用户,安装能力型厂商提供的终端安全产品,推动积极防御、威胁情报与架构安全和被动防御的有效融合,建立攻击者难以预测的安全能力,达成有效防护和高度自动化和可操作化的安全业务价值。安全研究与应急处理中心(Antiy CERT)研究人员还在继续跟进,并将持续更新本分析报告。

特别鸣谢:黑龙江省委网信办、重庆市网信办、哈尔滨工业大学网络安全响应组、电信云堤

附录一:关于安天

安天是专注于威胁检测防御技术的领导厂商。安天以提升用户应对网络空间威胁的核心能力、改善用户对威胁的认知为企业使命,依托自主先进的威胁检测引擎等系列核心技术和专家团队,为用户提供端点防护、流量监测、深度分析、威胁情报和态势感知等相关产品、解决方案与服务。

安天的监控预警能力覆盖全国、产品与服务辐射多个国家。安天将大数据分析、安全可视化等方面的技术与产品体系有效结合,以海量样本自动化分析平台延展分析师团队作业能力、缩短产品响应周期。安天结合多年积累的海量安全威胁知识库,综合应用大数据分析、安全可视化等方面经验,推出了可抵御各类已知和未知威胁的多样化解决方案。

全球超过一百家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的威胁检测引擎目前已为全球近十万台网络设备和网络安全设备、超过八亿部移动终端设备提供安全防护,其中安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品,并在国际权威认证机构AV-C的2015年度移动安全产品测评中,成为全球唯一两次检出率均为100%的产品。

安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续五届蝉联国家级网络安全应急服务支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。

安天实验室更多信息请访问:

http://www.antiy.com(中文)

http://www.antiy.net(英文)

安天企业安全公司更多信息请访问:

http://www.antiy.cn

安天移动安全公司(AVL TEAM)更多信息请访问:

http://www.avlsec.com


 

微信扫描关注 安天

文章分享二维码