僵尸网络Dofloo家族分析

经过安天追影小组长时间对Trojan[DDoS]/Linux.Dofloo家族的详细分析与监控获知,Dofloo家族控制节点主要分布于美国,而攻击目标主要为中国和美国,还监控到Dofloo家族也还参与了2016年10月美国的Dyn攻击。

Dofloo家族从2014年发展至今已经是相当完善和成熟,其僵尸网络的被控制端已经渗透linux x86、64、Arm 路由、Windows系列以及物联网,而且同一个Client端可以同时兼容控制上述环境的被控端,并且Dofloo家族在静态配置解密及通信协议上都使用了加密算法,特别是攻击指令所使用的AES加密算法,这两个特性增加了对其的监控难度。

分析介绍:

Dofloo家族为了让Client端兼容更多版本类型的被控端,采用了相同的通信协议,DDoS攻击类型没变,主要包括:dns flood,tcp flood,udp flood,cc flood,icmp flood这几种攻击方式。经过分析比较发现,为了长期有效威胁受害系统,被控端会编辑受害系统自启动服务文件(/etc/rc.local、/etc/rc.local、/etc/rc.d/rc.local、/etc/init.d/boot.local),将样本自身注入,实现样本自启动,随后获悉系统相关配置信息,作为被控端的首包数据向Client端发送,然后循环等待接收Client发送的指令,被控端接收到的攻击指令数据是Client端经过AES加密算法加密的密文,需要对数据使用密钥进行解密才能得到明文。

Dofloo DDoS家族在设计当初就已经具备良好的前瞻需求设计,Client端可以远程控制被控端执行多种类型的攻击,通过监控到的攻击数据分析得知,Client在每一次下达攻击目标时,命令被控端使用的攻击线程量经常在50+,也就极大的增加了每台被控端的攻击流量,而攻击目标经常是在被攻击后30秒内就已经宕机,这也是Dofloo家族的攻击量相对其他家族较少的原因之一。

总结:

经过长期监控与跟踪,Dofloo发展至今已是僵尸网络的常见家族,Dofloo DDoS的出现并快速遍布于互联网,严重影响互联网的安全健康发展,也损坏了广大网民安全利益,特别损耗互联网及设备资源,因此,如果计算机等网络设备被植入Dofloo家族需要删除样本并删除系统自启动服务文件的Dofloo样本的自启动数据,然后重启即可,如果是路由器设备,最好修改路由设备的默认登录密码。

MD5:

b1a95f95b0a789cf8240d4078c57492c
acb000b68432d53b2564d0140849756e
b33a589d3627bc6f2e5bd0e6b42f53b6

参考链接:

http://sec.chinabyte.com/429/13920429.shtml