從2017年中“永恒之藍(lán)”勒索病毒席卷全球，到2018年初的“英特爾CPU漏洞事件”大爆發(fā)，近年來(lái)，隨著網(wǎng)絡(luò)技術(shù)水平的不斷提升，以“云物移大智”等為代表的新興技術(shù)得到廣泛應(yīng)用，新產(chǎn)業(yè)新模式層出不窮，帶來(lái)了全新的商業(yè)化圖景，但隨之而來(lái)的日益嚴(yán)重的信息安全問題，也讓人們對(duì)網(wǎng)絡(luò)安全愈發(fā)關(guān)注與重視。

　　近日，金山云安珀實(shí)驗(yàn)室成功破獲一起利用大規(guī)模僵尸網(wǎng)絡(luò)進(jìn)行大流量DDoS攻擊的有組織活動(dòng)，經(jīng)深入調(diào)查后發(fā)現(xiàn)，該組織掌握的肉雞最多高達(dá)75萬(wàn)臺(tái)，通過層層加密隱匿攻擊源頭，在幕后對(duì)企業(yè)、機(jī)構(gòu)發(fā)動(dòng)針對(duì)性的大規(guī)模DDoS攻擊，進(jìn)而謀取不正當(dāng)利益。

　　安珀實(shí)驗(yàn)室監(jiān)控到網(wǎng)絡(luò)流量突發(fā)異常后，第一時(shí)間進(jìn)行分析排查，確定異常流量來(lái)自某幾臺(tái)被控制的云主機(jī)，正在在對(duì)外發(fā)起大流量的DDoS攻擊，深入調(diào)查后發(fā)現(xiàn)，這些云主機(jī)屬于某僵尸網(wǎng)絡(luò)控制的肉雞，最后順藤摸瓜，成功追蹤到攻擊源。下面詳細(xì)介紹分析過程。

　　1. 入侵分析

　　首先，根據(jù)事發(fā)主機(jī)的流量特征，在金山云分布式蜜網(wǎng)平臺(tái)中找到了被植入同一木馬的系統(tǒng)，然后提取了蜜罐中發(fā)起DDoS攻擊的木馬程序，名稱為libudev.so。并通過流量監(jiān)控，獲得了該木馬連接的C&C控制端IP：203.12.*.*。

　　隨后從該樣本中提取出三個(gè)C&C控制端服務(wù)器的域名：

　　baidu.gd***.com

　　pcdown.gd***.com

　　soft8.gd***.com

　　其中一個(gè)域名pcdown.gd***.com沒有解析記錄，可以判斷是備用域名。另外兩個(gè)域名解析到某一臺(tái)香港服務(wù)器上，IP正是前文提到的C&C控制端IP：203.12.*.*。

　　通過搜索根域名gd***.com的威脅情報(bào)數(shù)據(jù)，發(fā)現(xiàn)該根域名注冊(cè)于2015年，域名擁有者對(duì)該域名的Whois信息進(jìn)行了隱匿。通過對(duì)歷史數(shù)據(jù)的查詢，找到一個(gè)早期注冊(cè)該域名的郵箱：145612****@***.com

　　2. 身份溯源

　　通過技術(shù)手段，拿到了C&C控制端機(jī)器(簡(jiǎn)稱c1)的登入日志，綜合分析后判定c1為入侵者本人使用，而不是肉雞。從日志來(lái)源IP可以看到，入侵者有一定反偵察意識(shí)，利用了至少一層跳板主機(jī)企圖隱藏自己的真實(shí)IP，跳板主機(jī)IP為45.32.*.*(簡(jiǎn)稱為v1)，歸屬地為日本。

　　同時(shí)，我們發(fā)現(xiàn)這臺(tái)主機(jī)還會(huì)向另一臺(tái)機(jī)器發(fā)起RDP連接，IP為203.12.*.*(簡(jiǎn)稱為w1)。通過分析w1的登錄日志，我們發(fā)現(xiàn)攻擊者會(huì)在此機(jī)器中進(jìn)行大量的入侵準(zhǔn)備和記錄等操作，因此我們判斷v1為攻擊者使用的最后一層跳板。此服務(wù)器歸屬于日本的VPS運(yùn)營(yíng)商vultr，vultr在國(guó)內(nèi)的付款是通過支付寶，信用卡等實(shí)名進(jìn)行的。

　　我們繼續(xù)分析w1的日志，發(fā)現(xiàn)如下其他來(lái)源機(jī)器的信息：

　　s1、119.81.*.* 客戶端名稱：MS7

　　s2、203.12.*.* 客戶端名稱：WIN-3PLKM2PLE6E

　　s3、36.250.*.* 客戶端名稱：zhao**deMacBook

　　推斷名字為zhao**的人屬于該黑產(chǎn)團(tuán)伙的一員。

　　通過對(duì)s3的檢測(cè)，發(fā)現(xiàn)它開放如下服務(wù)：

　　這是一個(gè)測(cè)試下載服務(wù)器的站點(diǎn)，截圖中可以發(fā)現(xiàn)8***.com這個(gè)域名，通過搜索威脅情報(bào)，此域名是一個(gè)釣魚欺詐域名。我們找到名字為wang**的人，他的郵箱為27473****@***.com。從郵箱相關(guān)信息判斷，此人從事黑產(chǎn)的可能性較大。

　　下圖為此域名歷史解析過的IP地址，結(jié)合之前我們分析的信息，可以判斷出這個(gè)團(tuán)伙所在地為福建的可能性比較大。

　　結(jié)合上述線索，可以對(duì)團(tuán)伙人員身份進(jìn)行交叉定位。由于涉及信息敏感，此處不再深入介紹。

　　3. 僵尸網(wǎng)絡(luò)探查

　　通過技術(shù)手段，我們掌握了該團(tuán)伙歷史上所有控制的肉雞IP列表，共有75萬(wàn)之多

　　此外，我們還獲得了黑客的控制端程序，其客戶端配置界面如下：

　　上圖是其木馬生成器，可以配置DNS、C&C域名、配置文件地址等。可以看到，C&C地址以及版本號(hào)與當(dāng)前被捕獲的樣本類似。黑客可以在服務(wù)器端批量管理所有當(dāng)前活躍的肉雞，并可查詢其IP地址、版本、硬件架構(gòu)、處理器、時(shí)間戳、帶寬等信息。

　　4. 樣本分析

　　樣本運(yùn)行后，首先通過readlink來(lái)獲取當(dāng)前樣本的運(yùn)行路徑。樣本內(nèi)置了一個(gè)特定的解密算法，所有的加解密均采用該算法完成，算法邏輯如下：

　　char * encrypt_code(char * input, int length)

　　{

　　char * xorkeys = "BB2FA36AAA9541F0";

　　char * begin = input;

　　for(int i = 0; i < length; i++)

　　{

　　*input++ ^= xorkeys[i %16];

　　}

　　return begin;

　　}

　　通過上述解密算法，解密出樣本的配置信息，及C&C服務(wù)器上的配置文件路徑。解密后得到配置文件路徑：http://pcdown.gd***.com:85/cfg.rar，該文件在分析時(shí)已無(wú)法訪問。

　　之后通過fork子進(jìn)程，調(diào)用setsid函數(shù)，切換到系統(tǒng)根目錄等方式，樣本創(chuàng)建了一個(gè)守護(hù)進(jìn)程。接下來(lái)判斷運(yùn)行時(shí)參數(shù)，如果傳入?yún)?shù)個(gè)數(shù)為2，則刪除自身，同時(shí)運(yùn)行傳入的第2個(gè)參數(shù)，猜測(cè)此處或?yàn)闃颖靖逻壿嫛?/p>

　　當(dāng)運(yùn)行時(shí)參數(shù)個(gè)數(shù)不為3時(shí)，在之前解密出的系統(tǒng)路徑下復(fù)制自身，可選路徑有/usr/bin, /bin, /tmp, 并通過在樣本尾部添加11個(gè)隨機(jī)字符的方式，使自身的hash值每次都不同，用于對(duì)抗檢查hash值這一類的掃描。

　　樣本自身還攜帶了一個(gè)rootkit模塊，能夠?qū)ξ募?、端口等進(jìn)行隱藏，給安全人員的手工排查帶來(lái)一定的困難。樣本運(yùn)行時(shí)會(huì)將該模塊加載到系統(tǒng)內(nèi)核，一旦加載完成，就將該模塊文件從磁盤刪除。

　　下圖代碼是嘗試將自身作為服務(wù)寫入到系統(tǒng)啟動(dòng)目錄下，使樣本每次能隨著系統(tǒng)自啟動(dòng)。

　　接下來(lái)樣本會(huì)解密出遠(yuǎn)程服務(wù)器地址，之間用|符號(hào)進(jìn)行分隔。其中unk_80B324C處解出的地址列表為: soft8.gd***.com:3802|113.10.*.*:3802|baidu.gd***.com:3802

　　之后，調(diào)用rootkit模塊功能， 隱藏當(dāng)前進(jìn)程所分配的端口號(hào)。

　　樣本最終創(chuàng)建了3個(gè)線程， 來(lái)分別執(zhí)行不同的任務(wù)。

　　Daemon_get_kill_process線程在一個(gè)循環(huán)中持續(xù)從服務(wù)器端下載配置文件，如果下載失敗，就休眠1800秒，下載成功后，解密配置文件，然后將內(nèi)容保存在kill_cfg變量中。

　　Kill_process線程在一個(gè)循環(huán)中持續(xù)監(jiān)聽服務(wù)器端下發(fā)的配置文件kill_cfg是否已經(jīng)下載成功，一旦下載完成，會(huì)讀取每一行的內(nèi)容，根據(jù)內(nèi)置的參數(shù)決定對(duì)某個(gè)特定的文件名及對(duì)應(yīng)進(jìn)程進(jìn)行刪除和終止。

　　Tcp_thread線程首先向c&c服務(wù)器發(fā)送肉雞的硬件及軟件信息，包括設(shè)備類型、設(shè)備版本、一段32個(gè)字節(jié)的隨機(jī)字符串組成的設(shè)備id、固定的字符串”STATIC”、當(dāng)前bot的版本號(hào)2.0.1、 內(nèi)存使用情況、cpu頻率、當(dāng)前網(wǎng)速，以及當(dāng)前設(shè)備上的rootkit的安裝情況等信息，這些信息在加密后被發(fā)送到服務(wù)器端。

　　然后，根據(jù)服務(wù)器的返回?cái)?shù)據(jù)，首先計(jì)算crc值進(jìn)行校驗(yàn)，通過后對(duì)命令進(jìn)行解碼，進(jìn)入exec_packet控制流程。

　　控制流程目前包含了6個(gè)控制碼，分別為：

　　1. 停止攻擊

　　2. 創(chuàng)建多個(gè)線程發(fā)起攻擊

　　3. 下載文件并執(zhí)行

　　4. 更新bot樣本

　　5. 發(fā)送系統(tǒng)信息到指定服務(wù)器

　　6. 下載新的配置文件

　　5. 結(jié)語(yǔ)

　　本次事件由網(wǎng)關(guān)的一次突發(fā)流量異常引起，成功發(fā)現(xiàn)了黑客使用的控制服務(wù)器，最終掌握了一個(gè)數(shù)十萬(wàn)肉雞規(guī)模的僵尸網(wǎng)絡(luò)，通過及時(shí)進(jìn)行追蹤防護(hù)，有效避免了損失的發(fā)生。

　　金山云一直致力于構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境，面對(duì)惡意DDoS攻擊，金山云通過為用戶提供完整的安全解決方案，建立了全方位的防御體系。在金山云已備案域名最高可配備1Tbps的DDoS防護(hù)，用戶在遭遇大流量DDoS攻擊的情況下，通過在配置后將攻擊流量引至高防IP，確保源站穩(wěn)定可用。

　　諸如在面對(duì)易遭受攻擊的游戲行業(yè)，金山云高防解決方案針對(duì)游戲生命周期短、薄弱點(diǎn)多等痛點(diǎn)，提供大容量DDoS清洗服務(wù)，并通過開啟多臺(tái)云服務(wù)器，對(duì)抗CC攻擊，為用戶提供全方位的從物理到應(yīng)用層面的防護(hù)。

　　目前，金山云高防正在開放免費(fèi)試用活動(dòng)，電信聯(lián)通移動(dòng)三線BGP機(jī)房，3月份期間均可以申請(qǐng)?jiān)囉?，歡迎隨時(shí)與我們聯(lián)系。

　　【關(guān)于金山云安珀實(shí)驗(yàn)室】

　　實(shí)驗(yàn)室專注于安全技術(shù)的研究與探索，涉獵領(lǐng)域包括僵尸網(wǎng)絡(luò)的探究、病毒木馬的分析、漏洞的利用與防御技術(shù)、安全事件的跟蹤分析等。安珀實(shí)驗(yàn)室已深入多個(gè)流行的僵尸網(wǎng)絡(luò)家族，成功完成了多例溯源分析，并與公安部門合作聯(lián)合打擊網(wǎng)絡(luò)黑產(chǎn)，通過緊密協(xié)同業(yè)界最新安全動(dòng)態(tài)，將研究成果發(fā)布出來(lái)與業(yè)界共享，為構(gòu)建安全健康的網(wǎng)絡(luò)環(huán)境而努力。