Nitol家族韩国僵尸网络变种分析及其威胁情报

摘要: 1. 介绍对Trojan[DDoS]/Win32.Nitol.C(下简称:Nitol.C)有所了解的反病毒研

10-13 00:34 首页 FreeBuf

1. 介绍

对Trojan[DDoS]/Win32.Nitol.C(下简称:Nitol.C)有所了解的反病毒研究人员或许都知道,Nitol最先是由鬼影工作室开发并通过某渠道将源码对外公开,致使网络上出现多种不同协议的Trojan[DDoS]/Win32.Nitol(下简称:Nitol)版本,所以国内又称“鬼影DDoS”。Nitol 家族是目前活跃在Windows环境下的主要botnet之一。

大多数Nitol家族的衍生版本都有一个比较显著的特点是使用了lpk.dll劫持,通过lpk.dll劫持实现将样本在受害设备上进行多磁盘横向备份感染,达到了长期潜伏于受害系统并远程操纵攻击的目的。Nitol“狼藉”江湖多年,发展至今已经有8+不同协议的衍生版本,且据监控到的威胁情报显示,这些Nitol家族组成的botnet每天都会对互联网上的某个目标发起攻击,严重威胁互联网的安全!这里主要讲的是Nitol家族的Nitol.C衍生版本(见图1-1 生成器界面),一个Nitol家族衍生版本的韩国僵尸网络及其威胁情报。

图1-1 生成器界面

2. 基本信息

表1-1 样本基本信息

病毒名称Trojan[DDoS]/Win32.Nitol.C
样本MD5a48478dd55d8b099409bb829fb2b282f
样本大小59KB
样本格式Exe

3. 传播方式

从目前监控到的威胁情报看,Nitol.C的传播和感染方式主要有两个:

1、通过自动化批量IP网段漏洞利用,植入被控端木马。2017年上半年黑产最为流行的Windows自动化利用工具是”永恒之蓝”和st2,其中Nitol.C也存在使用这种自动化“抓鸡”方式进行部署botnet。

2、通过已有的botnet进行交叉感染。在已经部署的其他botnet上,通过批量执行远程下载命令(见图3-1 批量执行远程执行指令)进行快速植入韩版挂马站点webshare(见图3-2 webshare 挂马站点)的Nitol.C被控端木马。

图3-1 批量执行远程执行指令

图3-2 webshare 挂马站点

安天-捕风在自动化监控Nitol.C系列botnet时,也捕获到近百个上述类似的webshare挂马站点,见图3-2 捕获的webshare站点:

图3-3 捕获的webshare站点

4. 样本详细分析

从图1-1 获得的情报看(控制端-生成器界面、生成被控端的默认文件名称为“鬼影”拼音首写字母,且和“国产”版Nitol的重合),该家族确为Nitol家族的衍生版 。但是Nitol.C并没有真正的继承Nitol家族的所有攻击模式,只具备syn flood、tcp flood、http flood三大攻击向量。

1)样本备份和实现自启动功能。

见图4-1 样本备份。木马运行时首先验证注册表项的互斥量值“Serpiei”存在与否来鉴定自己是否第一次运行,如果第一次运行,木马会进行备份并根据设置决定是否实现自启动功能。

图4-1 样本备份

2)C2配置解密。

通过读取存放.data区段的全局变量得到C2密文,进行base64+凯撒+异或三重解密获取真实的C2。见图4-2 C2配置解密:

图4-2 C2配置解密

3)与C2建立通信连接,获取系统配置信息,向C2发送首包。见图4-3 与C2建立通信:

图4-3 与C2建立通信

4)等待接收并执行C2远程指令。Nitol.C被控端主要实现的是互斥量释放、cmd shell、样本下载、DDoS攻击4种远程指令,其中主要执行的还是DDoS攻击。见表4-1 远程指令类型:

表4-1 远程指令类型

名称偏移协议值备注
样本下载0x0000-0x00040x10
互斥量释放0x0000-0x00040x12、0x06
Cmd shell0x0000-0x00040x14
DDoS 攻击0x0000-0x00040x02、0x03、0x04主要实现3大攻击向量:0x02?tcp flood0x03?http flood0x04?syn flood

5. 电信-云堤“肉鸡”情报反馈

据电信云堤可靠数据反馈,Nitol.C系列的botnets中有大量“肉鸡”潜伏在中国境内,而目前了解这些“肉鸡”的来源主要有2个:

1.通过地下网络黑产进行“肉鸡”收购。

2.通过漏洞利用工具进行批量抓鸡。也说明国内很多设备疏于维护,漏洞未能及时修补。

6. 安天-捕风攻击情报

Nitol.C系列样本,安天-捕风在2017年6月初开始分类检出并进行自动化监控。监控Nitol.C系列的攻击情报结果显示,截至2017年9月12日Nitol.C的主要C2基本部署于韩国(占95.7%),共发起间歇性DDoS攻击1,249次,制造298起DDoS攻击事件,而主要攻击目标也基本分布于韩国(占93.86%),攻击类型主要使用syn flood(占98.68%)攻击模式,其主要攻击事件的时间集中于2017年6月19日——2017年7月3日之间。见图6-1- Nitol.C攻击时间分布:

图6-1 Nitol.C攻击时间分布

攻击目标攻击类型攻击目标地域攻击开始时间攻击者地域备注
182.212.47.244syn flood韩国2017-09-10 19:58:14韩国
116.40.152.152syn flood韩国2017-09-09 15:43:36韩国
49.163.23.181syn flood韩国2017-09-08 22:14:38韩国
221.140.27.229syn flood韩国2017-09-04 18:52:15韩国
211.215.157.93syn flood韩国2017-09-03 20:12:35韩国
114.200.68.5syn flood韩国2017-09-03 01:28:08韩国
118.220.182.136syn flood韩国2017-09-01 18:55:34韩国
218.39.179.123syn flood韩国2017-09-02 11:11:13韩国
112.167.225.197syn flood韩国2017-09-01 20:05:49韩国
175.113.66.108syn flood韩国2017-09-01 20:05:14韩国
183.102.11.172syn flood韩国2017-08-29 16:30:50韩国
182.226.0.191syn flood韩国2017-08-27 15:25:14韩国
103.23.4.115syn flood日本2017-08-26 22:06:29韩国
59.14.20.109syn flood韩国2017-08-26 21:38:31韩国
49.142.213.168syn flood韩国2017-08-26 15:34:56韩国
120.50.134.85syn flood韩国2017-08-26 15:32:09韩国
14.46.109.30syn flood韩国2017-08-26 14:59:13韩国
222.122.48.49syn flood韩国2017-08-26 01:05:30韩国
175.212.35.110syn flood韩国2017-08-20 19:22:40韩国
125.180.190.31syn flood韩国2017-08-22 20:51:57韩国

表5-1攻击情报

近日,有媒体再次炒作因为某问题,韩国多个政府部门遭到来自中国的DDoS攻击。对此不禁要问:通过攻击流量的来源就可以鉴定真正的攻击幕后了吗?DDoS 攻击中“肉鸡”也是其中的受害者,要鉴定真正的DDoS攻击幕后不是依据攻击流量的来源,而是依据控制整个botnet的C2的操纵者。根据监控到的攻击威胁情报显示,自2017年1月1日至2017年9月12日,(监控到的)全球共发生125,604,685 次间歇性DDoS攻击(见图 6-2全球DDoS攻击威胁情报),攻击目标是韩国的有102,730 次,仅占据总攻击次数的0.08178%,而发起间歇性DDoS攻击韩国的C2主要来自于美国的约60%,其次是韩国本身约30+%,而来自中国和日本的仅占10%不到;C2位于韩国发起的间歇性DDoS攻击有3,390,321 次,占据总攻击次数的2.670%;C2位于韩国发起的间歇性DDoS攻击是攻击目标位于韩国的33倍;C2位于韩国向中国境内发起的间歇性DDoS攻击是3,100,239 次,占据C2位于韩国发起的间歇性DDoS攻击的94.14%,很直白的说明C2位于韩国的botnet主要攻击对象是中国境内目标;C2位于中国向韩国地域发起的间歇性DDoS攻击是37,015 次,仅占据C2位于中国发起攻击量的0.07638% (37,015/48,461,408)。所以,这个锅,中国黑客到底背不背呢?You known!I known!

图 6-2 全球DDoS攻击威胁情报

7. 总结

无论何情何理,未经授权肆意发起DDoS攻击都是不可取,通过DDoS攻击手段进行敲诈勒索更是违法行为!近些年来,大影响DDoS攻击事件越发频发,攻击流量也逐次刷新历史新高。DDoS botnet的“肉鸡”从单一的Windows环境延伸到Linux环境,现在也拓展到了IoT产业;DDoS botnet的控制端同样也从只兼容单一环境类型的“肉鸡”到完善兼容多环境类型的“肉鸡”;DDoS botnet的拓展也实现漏洞自动化利用进行“抓鸡”,达到了快速部署botnet并成型的效果。这些情况也都说明如今的大部分botnet所掌控的“肉鸡”量已经远远不止几千或上万台,每个botnet拥有的攻击能力都远远超于常人的想象,更何况根据监控到的情报显示,每次大型的DDoS攻击事件都是以组合“打怪”模式进行多个botnet组合攻击。从多维度分析表明,DDoS 攻击虽然是无害攻击,但也严重威胁了互联网的正常发展,对抗互联网的DDoS攻击,为互联网安全发展保驾护航的使命仍然任重而道远!

在此,也提醒广大互联网用户安全、健康上网,文明使用网络,安装杀毒、防毒软件并及时修补设备漏洞!

附录:参考资料

参考链接:

http://m.bobao.360.cn/learning/appdetail/4318.html

MD5:

a48478dd55d8b099409bb829fb2b282f

*本文作者:放牛娃,转载请注明来自 FreeBuf.COM


首页 - FreeBuf 的更多文章: