DDoS攻擊通過大量合法的請求占用大量網(wǎng)絡資源，以達到癱瘓網(wǎng)絡的目的，詞文章主要是針對那些對一種被大量肉雞使用，面向目標IP發(fā)起DDoS攻擊的木馬工具。

本篇文章是對一種被大量肉雞使用，面向目標IP發(fā)起DDoS攻擊木馬工具的詳細分析。

一 背景

近期，阿里云云盾安全攻防對抗團隊通過異常流量分析和攻擊溯源發(fā)現(xiàn)了一種被大量肉雞使用，面向目標IP發(fā)起DDoS攻擊的木馬工具。經(jīng)過取樣和入侵分析，我們發(fā)現(xiàn)該DDoS攻擊工具大部分是由于網(wǎng)絡上某些服務器存在Mysql或SqlServer弱密碼等原因被入侵，被黑客傳入大量惡意軟件，其中包括該款DDoS工具：

文件名：DbProtectSupport.exe MD5：412e6b0de470907cba75e00dde5a0086

該DDoS工具運行后先通過反彈的方式主動與遠程主機連接，遠程控制機隨后向該DDoS工具傳遞攻擊的目標IP。DDoS工具隨后使用自己所攜帶的Winpcap驅動直接操作網(wǎng)卡發(fā)包，向目標IP發(fā)動SYN流量攻擊。

二 樣本簡介

該DDoS工具啟動后，會先獲取主機信息（系統(tǒng)版本、CPU架構，網(wǎng)卡信息，MAC地址），然后主動通過設定好的域名來連接遠程主機。建立連接后，將這些信息發(fā)送給遠程主機。同時，工具會創(chuàng)建線程等待主機發(fā)來攻擊目標IP。當遠程控制機與該DDoS進行一系列的準備工作通信后，會給其發(fā)送一個攻擊指令包，該指令包會包含攻擊目標IP地址。

該DDoS工具接收到攻擊指令后，會自助將目標IP填充為SYN包，然后調用Winpcap驅動，直接操作網(wǎng)卡發(fā)送填充好的攻擊流量包。攻擊流程如圖1所示。

圖1 攻擊流程

三 詳細分析

3.1 網(wǎng)絡流量分析

在測試機中(由于隱私需要，將部分機器IP、MAC地址隱藏)將該程序啟動，通過分析網(wǎng)絡流量會發(fā)現(xiàn)該程序在與遠程控制機建立連接后會立即向遠程主機發(fā)生一個“報告包”，該包包含了本機的系統(tǒng)版本，如圖2所示.

圖2 描藍包所顯示的數(shù)據(jù)有一段Windows Server 2003（紅框所示）

后續(xù)會進行一段時間的相互通信，通過數(shù)據(jù)分析發(fā)現(xiàn)，該通信包無明顯特征，應該是為防止下斷recv，增加分析recv包的難度。經(jīng)過該段時間通信后，控制端會發(fā)送一個明顯突變的包，然后受控機開始進行向外DDoS攻擊。通過分析該包內容，該包明顯相較于其他數(shù)據(jù)包不一樣，對比隨后就發(fā)生的DDoS攻擊的目的IP地址，發(fā)現(xiàn)該包包含了DDoS攻擊目標IP與端口號，因此可判斷為該包為指令包，如圖3所示。

圖3 描藍即為指令包，受控機收到該包后隨后控制機即對外部進行DDoS攻擊，其中紅框即為目標攻擊IP

3.2 文件逆向分析

通過對程序逆向分析，發(fā)現(xiàn)程序運行后會獲取主機的信息（系統(tǒng)版本、CPU架構，網(wǎng)卡信息，MAC地址），如圖4、5、6、7所示：

圖4 系統(tǒng)版本

圖5 CPU核心和架構

最新評論