安天追影小组

发布时间：2016年1月13日 10时21分

 

 

PDF报告下载

1 概述

2016年1月，安天追影小组通过安天态势感知系统 发现了一款带有过期签名的DDoS恶意程序，该样本盗用了韩国NHN公司美国分公司的数字签名，NHN旗下包括韩国本土最大的搜索引擎网站，美国分公司主要从事网络游戏开发，被盗用的数字签名已经过期，恶意代码添加过期的数字签名主要是为了躲避杀软检测。该数字签名被多个恶意样本使用，应该已经在地下市场流传。该DDoS样本包含多种DDoS攻击方式，并主要针对国内的在线销售减肥药、在线赌博、电子交易平台进行攻击。攻击者对灰色或非法网站进行DDoS攻击的目的可能是敲诈或者同业竞争。通过追影设备分析发现该病毒为DDOS恶意样本，病毒样本运行后释放rasmedia.dll到system32目录下，安装WinHelp32服务，运行CMD自删除。并创建两个线程分别防止服务自身被删除和进行DDoS攻击。攻击者使用fabao.309420.com:7002作为C2与DDoS病毒样本进行通信并分发攻击任务。短时间内已捕获到对多个网站被DDoS攻击。

图1 签名样本DDoS攻击

2 样本分析

2.1 样本标签

探海威胁检测系统检测都hxxp://61.147.107.91:8082/get.exe的恶意代码传输事件，经过分析该样本的基本信息如下：

病毒名称	Trojan[Backdoor]/Win32.DDOS
原始文件名	get.exe
MD5	b8f83b1e12ac61d8045a44561c5b7863
处理器架构	X86-32
文件大小	327.19 KB
文件格式	BinExecute/Microsoft.EXE[:X86]
时间戳	2015-10-28 14:07:22
数字签名	NO
加壳类型	无
编译语言	Compiler/Microsoft.VISUAL_C[:v6.0]
VT首次上传时间	2015-12-06
VT检测结果	47/55

2.2 样本运行流程

病毒样本运行后释放rasmedia.dll文件到system32目录下，安装WinHelp32服务，运行CMD自删除。服务程序反弹连接fabao.309420.com:7002，上报受害者机器信息，并创建两个线程分别防止服务自身被删除和等待服务器攻击指令，进行DDoS攻击。

图 2 样本运行流程

2.3 样本详细分析

该样本包含NHN USA Inc.公司的数字签名信息，该数字签名有效期是2009/11/3到2011/10/29，已经过期。

样本get.exe运行后会释放后门文件rasmedia.dll到system32目录下，每次释放，此文件末尾会被随机填充一些数据形成不同的文件hash，在开启了UAC的系统上，释放文件到system32目录会失败，样本会动态加载rasmedia.dll，调用其导出的Install函数使得rasmedia.dll可以以服务的方式启动。最后样本get.exe会调用cmd.exe进行自删除。服务的属性信息以及对应的dll路径如下：

在WinHelp32服务启动后，对应的后门dll文件就被加载运行了，首先，dll会动态解密要连接的域名端口：fabao.309420.com:7002以及其他一些信息，方便后续使用，如下：

此后rasmedia.dll会创建两个主要的线程，一个线程是为了防止自身被删除，另一个就是联网获取远端指令，然后执行相关的操作,例如DDoS。

为了防止被删除，其首先会读取自身数据存放在缓冲区里，然后循环判断自身文件是否存在，如果不存在就把缓冲区里的内容重新写入文件，主要代码如下：

另一个线程首先会收集本地主机的计算机名、系统版本、磁盘大小等信息， 然后把这些收集到的信息加密后，发送到远控端，其加密算法如下：

而此加密函数的调用方式是以call(buf,0x60,0x0c)这种形式出现，其中的buf里存放的就是收集到的一些信息，0x60是信息长度

然后，dll会循环从fabao.309420.com:7002上获取数据，在解密接收的数据后，会再次对数据进行格式解析，其解密算法如下：

void call2(BYTE *buf, int len,int res)
{
int i=0;
BYTE tmp=res&0xff;
tmp=tmp % 0xfe;
tmp++;
while(len)
{
buf[i] = (buf[i]-tmp)^tmp;
i++;
len--;
}
}

通过观察上面的两个函数可以看出，这里的加密函数和解密函数正好相对应。
通信数据协议为：控制指令(4字节)+数据大小(4字节)+数据

然后通过匹配控制码，来执行相关的操作，分析发现，这里经常接收到的控制码有0x31000002和0x32000002，这两个控制指令都跟DDOS相关，当控制码为0x31000002时，解密后的数据如下：

可以看到，这种情形下获取的数据是一个IP地址，然后dll会创建很多线程，每个线程都循环对获取到的IP进行DDOS攻击，每次发送的数据包大小为0x1000，而数据内容是随机生成的，代码如下：

当控制码为0x32000002时，解密后的数据如下：

在这里获取到的数据是一个带参数的网址，其内容如下：

然后也会创建很多线程循环对这个网址发起大量GET请求，造成DDoS，其发送的GET请求的数据如下：

如上图所示，其GET请求的数据的组成方式是以事先准备好的模版来填充的，其对应的模版为：

当然，在dll里还有其他的模版，总数多达十种，下面列出其中的几种：
其一：

其二：

其三：

其四：

其五：

其六：

其七：

除了上面提及的DDOS功能外，此dll文件还有其他远控类型的功能，在通过分析后发现，此DLL后门中的控制指令多达20种，其主要指令如下：

控制码	功能
0x37000002	DDoS
0x41000001	DDoS
0x37000001	DDoS
0x32000004	DDoS
0x33000001	DDoS
0x36000001	DDoS
0x32000002	DDoS
0x31000005	DDoS
0x32000001	DDoS
0x31000003	DDoS
0x30000001	Do nothing
0x31000001	DDoS
0x31000002	DDoS
0x20000020	修改HOSTS
0x20000003	关机
0x20000004	远程下载执行
0x20000005	打开指定程序
0x20000006	打开指定程序
0x20000000	卸载自身
0x20000002	重启

3 网络架构分析

3.1 网络基础设施

黑客控制网络基础，由样本分析可知，攻击者使用fabao.309420.com:7002指向的61.147.107.91作为服务器进行分发DDOS攻击任务，同时该IP的另外端口作为木马下载服务器。该域名并未部署web网站。由ping的TTL返回值为118，可猜测其操作系统为Win NT/2000/2003/XP。同时该域名在不同时间段指向了多个威胁IP。该黑客组织从2013年即开始活动，其IP地址均位于江苏省扬州市电信。

域名	IP端口	操作系统	最早时间	作用	描述
fabao.309420.com:7002	61.147.107.91:7002	Windows 2003	2015-10-12	C2控制服务器
	61.147.107.91:8082	Windows 2003	2015-10-12	放马服务器
fabao.309420.com:7002	61.147.70.142:7002	Windows 2003	2015-11-19	C2控制服务器
fabao.309420.com:7002	61.147.103.178:7002		2015-06-18	C2控制服务器
fabao.309420.com:7002	61.147.103.117:7002		2013-06-03	C2控制服务器
fabao.309420.com:7002	61.147.103.99:7002		2013-04-17	C2控制服务器

使用X-Scan扫描目标服务器，发现目标开放了如下端口：135、139、21、22、3389

其中21端口经检测，运行的为Serv-U FTP Server v6.4

尝试连接登陆,发现存在root用户:

使用Serv-U的默认管理员：LocalAdministrator，默认密码：#l@$ak#.lk;0@P，尝试登陆,发现默认管理员存在,但是默认密码被更改。

注意到目标服务器开放了22端口和SSH服务，尝试连接得到如下提示，怀疑可能是限制了登陆IP。

目标服务器还开放了3389端口，使用系统自带的远程桌面连接连接至目标服务器，可以看到目标服务器系统为Windows Server 2003，符合前边的推测。

目前尚未发现存在弱口令等。与控制端通信的其它样本84747986208f11f326a890451988064f则采用了伪造腾讯数字签名信息来逃避检测。

4 危害影响

4.1 受害者网站

根据监测发现，被攻击目标列表如下：

控制码	功能
http://wapkk.xford.cn/	减肥药网站
http://le.bjwcyls.com/	新年支付
http://pqt.zoosnet.net	网页商务通
http://www.dfr4fs.com	棋牌游戏
http://www.sbuluo.com	香水售卖网站
http://www.a0686.com	娱乐场网站
http://mmmoffice.com/
http://xs.igreenport.com.cn/
http://www.10230000.cn/	一件代发
http://www.qiuyun.sh.cn/
http://flm.flmapp.com/
http://xq2015.228.zj.cn/
http://vip6.airuis.net/
http://wapkf.huxiwa.cn/
http://wap.1008tuan.com/
http://www.shop3m.cn/
http://flm.alibag.cn/
http://le1s.xndnhc.com/
http://www.gzmfl.cn
http://willittt.aliapp.com
http://183.131.85.140:888
http://guanfang123.aliapp.com
http://wap.pichia.cn
http://mjgw.weizhangchaxun.com.cn
http://aaa8.shengmingjiguang.cn
http://flm.flm315.com	网赚
http://vip6.zyhlwlc.com

主要攻击目标包括网络销售减肥产品、娱乐城以及电子商务平台，属于网络上的灰色相关产业，这些产业竞争比较激烈。

5 黑客追踪

5.1 攻击者推理

通过追影设备提取C2可以锁定以下域名：fabao.309420.com ,查询whois信息可以得到如下的注册信息：

 

根据域名注册的英文信息，域名所有者是在广西省南宁市大学路58号申请注册的该域名，可能使用过号码为0771-3268887的固定电话，经查该号码地址为广西南宁。通过输入域名反查，我们获取到了注册域名的163邮箱。通过这个邮箱，搜索申请的域名：

发现该邮箱仅仅申请了309420.com这一个域名。

5.2 获利分析

攻击的目标主要是灰色网站，该领域存在激烈的同行商业竞争，如果有新加入这个销售减肥药品在线销售网站将会受到之前的该领域的共同攻击。

6 总结

该DDoS攻击组织利用窃取的企业过期签名以及伪造数字签名来逃避杀软检测，对可信体系的信任链条是一种冲击，目前杀毒软件厂商也都增加了对数字签名的检验，从粗糙的检验数字签名是否存在到对数字签名的期限，数字签名伪造等进行检测。

7 相关信息

相关MD5列表
0b149f4ea7618a1d009409e889541b89
82d25d47c82246aed948031597141763
84747986208f11f326a890451988064f
801905dd2ff5b92355ba4c21a9ec1477
b8f83b1e12ac61d8045a44561c5b7863
7afeb59f339d3af22b8b1f51b8e01f15
4f6f7e8d6400fad699793449834153c1
087e5fbde0dec2d19eafbf749433792c
2ec8c7c9a3b051e2b44d74ebe4f53aa4
429b2d49ebf58634df7c6d2def01b406
685157a415112954f94a2ea7cfd796f4
b7d9c12c12a86fcea50371a0fe545641
9d390bd6a71eb4e2a0d3ba8d1fead3c6
572b568cfd3ce67b81ed980cfa6520b0
84bb036c3ee8681dec8e98c6356190b7

附录一：参考资料

[1] NHN USA
http://www.nhnentusa.com/usa/index.nhn

附录二：关于安天

安天从反病毒引擎研发团队起步，目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商。安天历经十五年持续积累，形成了海量安全威胁知识库，并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验，推出了应对持续、高级威胁（APT）的先进产品和解决方案。安天技术实力得到行业管理机构、客户和伙伴的认可，安天已连续四届蝉联国家级安全应急支撑单位资质，亦是CNNVD六家一级支撑单位之一。安天移动检测引擎是获得全球首个AV-TEST（2013）年度奖项的中国产品，全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴。

关于安天反病毒引擎更多信息请访问：	https://www.antiy.com（中文） http://www.antiy.net （英文）
关于安天反APT相关产品更多信息请访问：	https://www.antiy.cn

 

 

微信扫描关注 安天