一款流行DDoS木馬工具的分析
本篇文章是對一種被大量肉雞使用,面向目標IP發起DDoS攻擊木馬工具的詳細分析。
一 背景
近期,阿里云云盾安全攻防對抗團隊通過異常流量分析和攻擊溯源發現了一種被大量肉雞使用,面向目標IP發起DDoS攻擊的木馬工具。經過取樣和入 侵分析,我們發現該DDoS攻擊工具大部分是由于網絡上某些服務器存在Mysql或SqlServer弱密碼等原因被入侵,被黑客傳入大量惡意軟件,其中 包括該款DDoS工具:
文件名:DbProtectSupport.exe MD5:412e6b0de470907cba75e00dde5a0086
該DDoS工具運行后先通過反彈的方式主動與遠程主機連接,遠程控制機隨后向該DDoS工具傳遞攻擊的目標IP。DDoS工具隨后使用自己所攜帶的Winpcap驅動直接操作網卡發包,向目標IP發動SYN流量攻擊。
二 樣本簡介
該DDoS工具啟動后,會先獲取主機信息(系統版本、CPU架構,網卡信息,MAC地址),然后主動通過設定好的域名來連接遠程主機。建立連接 后,將這些信息發送給遠程主機。同時,工具會創建線程等待主機發來攻擊目標IP。當遠程控制機與該DDoS進行一系列的準備工作通信后,會給其發送一個攻 擊指令包,該指令包會包含攻擊目標IP地址。
該DDoS工具接收到攻擊指令后,會自助將目標IP填充為SYN包,然后調用Winpcap驅動,直接操作網卡發送填充好的攻擊流量包。攻擊流程如圖1所示。
圖1 攻擊流程
三 詳細分析
3.1 網絡流量分析
在測試機中(由于隱私需要,將部分機器IP、MAC地址隱藏)將該程序啟動,通過分析網絡流量會發現該程序在與遠程控制機建立連接后會立即向遠程主機發生一個“報告包”,該包包含了本機的系統版本,如圖2所示.
圖2 描藍包所顯示的數據有一段Windows Server 2003(紅框所示)
后續會進行一段時間的相互通信,通過數據分析發現,該通信包無明顯特征,應該是為防止下斷recv,增加分析recv包的難度。經過該段時間通信 后,控制端會發送一個明顯突變的包,然后受控機開始進行向外DDoS攻擊。通過分析該包內容,該包明顯相較于其他數據包不一樣,對比隨后就發生的DDoS 攻擊的目的IP地址,發現該包包含了DDoS攻擊目標IP與端口號,因此可判斷為該包為指令包,如圖3所示。
圖3 描藍即為指令包,受控機收到該包后隨后控制機即對外部進行DDoS攻擊,其中紅框即為目標攻擊IP
3 .2 文件逆向分析
通過對程序逆向分析,發現程序運行后會獲取主機的信息(系統版本、CPU架構,網卡信息,MAC地址),如圖4、5、6、7所示:
圖4 系統版本
圖5 CPU核心和架構
圖 6 系統網絡接口和MAC地址
對gethostbyname下斷可發現受控機會首先獲取*.softcoo.com這個域名獲取主機地址信息,如圖7所示。
圖7 通過固定域名獲取主機地址信息
對connect下斷可以發現連接的控制機的目的地址為:*.*.242.6,如圖8所示:
圖 8 逆向分析出connect控制機IP地址為:*.*242.6
對send下斷可以發現所發送的第一個數據包內容為,如圖9所示,與圖1中“報告包”數據內容對比可發現,該數據內容一致。
圖 9 send截獲的“報告包”
由于后面實際打DDoS攻擊使用的是自帶驅動Winpcap直接操作網卡來進行發包,因而OllyDbg截獲不了所發的封包,但是可以通過Wireshark抓包軟件來捕獲,如圖10所示。
圖10 攻擊流量包
四 總結
經過以上分析,我們可以發現該DDoS木馬的并沒有太復雜的DDoS攻擊模式,而且也沒有自啟動模塊,當外部程序啟動它后,就會接受遠程控制,來對目標IP發動攻擊。該攻擊行為由于是直接操作驅動進行,所以客戶端沒有很好的阻斷方式。
不過,由于本機文件特征比較明顯,它的同目錄文件夾下會帶有npf.sys驅動,因而是個比較明顯的特征。
最后,該DDoS工具傳播范圍比較大,當發現機器上有異常流量的時候,可以直接檢查下自己服務器上面是否存在此惡意工具文件。