研究报告

安天针对“魔鼬”木马DDoS事件分析报告

安天安全研究与应急处理中心(Antiy CERT)
初稿完成时间:2017年08月02日 01时34分
首次发布时间:2017年08月02日 01时34分
本版更新时间:2017年08月02日 11时30分

 

1 概述

 

     2017年7月30日,安天安全研究与应急处理中心(Antiy CERT)的工程师发现一种具备拒绝服务(DDoS)攻击能力的新型木马。经初步分析,安天CERT工程师认为该木马属于一个新家族,并将其命名为“魔鼬”。通过关联查询安天对于DDoS攻击的历史监测数据,发现本次事件中受攻击的域名同时也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻击。
 

2 受攻击目标


    通过样本分析,发现被攻击域名或IP多为操作系统下载站点,受攻击的域名/IP和对应的网站名如表2-1所示。

表 2 ‑ 1 受攻击的域名/IP对应的网站

域名/IP 网站名
win7.bdxsa.com 系统之家
www.swerrt.cn 系统之家
x1.xy1758.com
www.xiaomaxitong.cn 小马一件重装系统
win7.hangzhouhongcaib.cn 无法访问
win.geelai.cn 系统下载
xz.xamy119.com 小猪一件重装系统
xm.0537yiyao.com 小马一件重装系统
blog.xy1758.com
win7.yahung5.com 系统之家
win7.shangshai-qibao.cn 系统下载
183.134.16.11
43.230.72.134
14.152.83.24


    通过电信云堤的协助分析,我们在部分网络出口提取攻击数据,部分域名访问量抽样统计如下:
 


图2-1对www.swerrt.cn域名的访问量



图2-2对win7.bdxsa.com域名的访问量


    在运营商的大部分骨干网设备都可以观察到攻击流量和C2心跳,具体感染数量有待进一步核查。
 


3 事件样本分析


    样本的编译时间为2017-07-01 21:22:54(时间戳 5957A22E),根据前面的攻击事件发现时间,初步认为该时间是未经过篡改的,可见该木马家族的出现时间仅有短短的1个月。
 

图 3 ‑ 1 样本时间戳


样本的运行流程和主要行为如下:

    1. 创建互斥量保证唯一实例运行。
 

图 3 ‑ 2 创建互斥量


    2. 加载资源数据,读取指定偏移的内容作为C2地址(www.linux288.com)。
 

图 3 ‑ 3 加载资源数据


    3. 连接C2服务器,发送本机系统信息(包括主机名、CPU、内存、系统版本等),接收C2返回的攻击目标列表。
 

图 3 ‑ 4 接受服务器返回数据


   4. 在分析中我们发现,C2返回的攻击目标列表数据每隔一段时间会发生变化,从而控制受害主机向不同的IP或域名发动攻击。
 

图 3 ‑ 5 服务器返回不同的待攻击任务列表


   5. 接收到数据后,样本根据指定的格式解析攻击列表数据(link_list和task_list)。
 

图 3 ‑ 6 解析数据包内容


   6. 样本根据task_list地址和配置,创建大量线程,向目标地址发起DDoS攻击。
 

图 3 ‑ 7 发起DDoS攻击



4 相关事件关联


    对本次事件中的被攻击域名进行关联查询,发现部分域名在相近时间也遭受了其他组织的DDoS攻击,详细信息如下:
 

表 4 ‑ 1 关联查询结果

受害者 攻击开始时间 攻击结束时间 攻击者 攻击者地域 攻击类型 攻击次数 攻击家族
www.swerrt.cn、
win7.bdxsa.com、
win7.hangzhouhongcaib.cn
对应
122.228.91.13
2017/7/14 2017/7/31 *.*.77.34、
*.*.203.131、
*.*.116.96、
sosy.*.pw、
美国洛杉矶 syn flood 8226 Trojan/Linux.BillGates
win7.hangzhouhongcaib.cn
对应
58.51.171.253
2017/7/29 2017/7/30 *.*.203.131、
*.*.116.96、
sosy.*.pw、
network.*.net
美国洛杉矶 syn flood 212 Trojan/Linux.BillGates
www.xiaomaxitong.cn
对应
104.31.184.2、
104.31.185.2
2017/7/26 2017/7/29 *.*.203.131
*.*.116.96、
sosy.*.pw、
network.*.net
美国洛杉矶 syn flood 320 Trojan/Linux.BillGates
x1.xy1758.com
对应
58.222.43.221、
122.228.91.14
2017/7/29 2017/7/31 *.*.203.131、
*.*.116.96、
sosy.*.pw、
network.*.net
美国洛杉矶 syn flood 2525 Trojan/Linux.BillGates
xz.xamy119.com
对应
104.31.192.2、
104.31.193.2
2017/7/26 2017/7/26 *.*.203.131、
*.*.116.96、
sosy.*.pw
美国洛杉矶 syn flood 314 Trojan/Linux.BillGates
xm.0537yiyao.com
对应
104.18.32.54、
104.18.33.54
2017/7/19 2017/7/25 *.*.77.34、
*.*.77.51、
hadess520.*.net
美国洛杉矶 syn flood 31 Trojan/Linux.BillGates
blog.xy1758.com
对应
27.148.147.10、
27.155.87.165
2017/3/11 2017/7/28 *.*.50.12、
*.*.77.34、
*.*.203.131、
*.*.183.5、
*.*.238.54、
*.*.125.187、
*.*.191.52、
*.*.173.148、
*.*.5.113、
*.*.116.96、
*.*.54.93、
*.*.105.144、
sosy.*.pw、
hades2624.*.net、
network.*.net
美国、中国 syn flood、tcp flood 2018 Trojan/Linux.BillGates、 Trojan/Linux.Mayday

   部分域名受攻击的数据如下所示:
 

图 4 ‑ 1 域名win7.hangzhouhongcaib.cn的攻击数据


图 4 ‑ 2 域名www.xiaomaxitong.cn的攻击数据


图 4 ‑ 3 域名x1.xy1758.com的攻击数据


5 总结


    经过分析和关联查询,发现在相近时间内多个组织对相同目标发起DDoS攻击。从目前掌握的资料来看,本次DDoS事件的攻击强度足以瘫痪一般的网站,但是部分受攻击网站采用了CDN服务,因此没有受到严重影响。该木马家族的出现时间仅有短短的1个月,却发现较多起由该家族发起的DDoS攻击事件,说明木该马传播速度较快,需要引起重视。  

    对于本次事件,安天安全研究与应急处理中心研究人员还在继续跟进,并将持续更新本分析报告。  

    商业军火的扩散全面降低了攻击成本,使得当前恶意代码的作业深度,由Bootkit等传统方法演进为更深度的技术(如Bioskit、固件程序等),面对此类威胁时,基于查杀恢复的处置思路并不能够达成防御效果。针对此现状,应建立新的恶意代码处置流程,在完成基础恶意代码的查杀处置、业务系统恢复后,妥善规划后续的处置程序。在按照安全规程重建环境,保证安全策略合理、系统补丁最新的条件下,安装能力型厂商提供的终端安全产品,推动积极防御、威胁情报与架构安全和被动防御的有效融合,建立攻击者难以预测的安全能力,达成有效防护和高度自动化和可操作化的安全业务价值。
 

    特别感谢:黑龙江网信办、重庆网信办、哈尔滨工业大学网络安全响应组、电信云堤
 

附录一:关于安天


    安天从反病毒引擎研发团队起步,目前已发展成为以安天实验室为总部,以企业安全公司、移动安全公司为两翼的集团化安全企业。安天始终坚持以安全保障用户价值为企业信仰,崇尚自主研发创新,在安全检测引擎、移动安全、网络协议分析还原、动态分析、终端防护、虚拟化安全等方面形成了全能力链布局。安天的监控预警能力覆盖全国、产品与服务辐射多个国家。安天将大数据分析、安全可视化等方面的技术与产品体系有效结合,以海量样本自动化分析平台延展工程师团队作业能力、缩短产品响应周期。结合多年积累的海量安全威胁知识库,综合应用大数据分析、安全可视化等方面经验,推出了应对高级持续性威胁(APT)和面向大规模网络与关键基础设施的态势感知与监控预警解决方案。  

    全球超过三十家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近两亿部手机提供安全防护。安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品。  

    安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。  

    安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。  

安天实验室更多信息请访问:http://www.antiy.com(中文)
http://www.antiy.net(英文)
安天企业安全公司更多信息请访问:http://www.antiy.cn
安天移动安全公司(AVL TEAM)更多信息请访问:http://www.avlsec.com

按访问者
政府
运营商
金融
能源
合作伙伴
新闻媒体
求职者
关于我们
公司概况
工作机会
大事记
部分客户
公司荣誉
诚聘英才
常用链接
产品综述
终端侧安全
威胁深度鉴定
引擎类
态势感知
威胁响应
公告与报告
服务与支持
服务与支持
软件升级
售后服务
安全培训服务
安全技术服务