DDoS攻擊通過大量合法的請求占用大量網(wǎng)絡(luò)資源，以達到癱瘓網(wǎng)絡(luò)的目的，詞文章主要是針對那些對一種被大量肉雞使用，面向目標(biāo)IP發(fā)起DDoS攻擊的木馬工具。

本篇文章是對一種被大量肉雞使用，面向目標(biāo)IP發(fā)起DDoS攻擊木馬工具的詳細分析。

一 背景

近期，阿里云云盾安全攻防對抗團隊通過異常流量分析和攻擊溯源發(fā)現(xiàn)了一種被大量肉雞使用，面向目標(biāo)IP發(fā)起DDoS攻擊的木馬工具。經(jīng)過取樣和入侵分析，我們發(fā)現(xiàn)該DDoS攻擊工具大部分是由于網(wǎng)絡(luò)上某些服務(wù)器存在Mysql或SqlServer弱密碼等原因被入侵，被黑客傳入大量惡意軟件，其中包括該款DDoS工具：

文件名：DbProtectSupport.exe MD5：412e6b0de470907cba75e00dde5a0086

該DDoS工具運行后先通過反彈的方式主動與遠程主機連接，遠程控制機隨后向該DDoS工具傳遞攻擊的目標(biāo)IP。DDoS工具隨后使用自己所攜帶的Winpcap驅(qū)動直接操作網(wǎng)卡發(fā)包，向目標(biāo)IP發(fā)動SYN流量攻擊。

二 樣本簡介

該DDoS工具啟動后，會先獲取主機信息（系統(tǒng)版本、CPU架構(gòu)，網(wǎng)卡信息，MAC地址），然后主動通過設(shè)定好的域名來連接遠程主機。建立連接后，將這些信息發(fā)送給遠程主機。同時，工具會創(chuàng)建線程等待主機發(fā)來攻擊目標(biāo)IP。當(dāng)遠程控制機與該DDoS進行一系列的準備工作通信后，會給其發(fā)送一個攻擊指令包，該指令包會包含攻擊目標(biāo)IP地址。

該DDoS工具接收到攻擊指令后，會自助將目標(biāo)IP填充為SYN包，然后調(diào)用Winpcap驅(qū)動，直接操作網(wǎng)卡發(fā)送填充好的攻擊流量包。攻擊流程如圖1所示。

圖1 攻擊流程

三 詳細分析

3.1 網(wǎng)絡(luò)流量分析

在測試機中(由于隱私需要，將部分機器IP、MAC地址隱藏)將該程序啟動，通過分析網(wǎng)絡(luò)流量會發(fā)現(xiàn)該程序在與遠程控制機建立連接后會立即向遠程主機發(fā)生一個“報告包”，該包包含了本機的系統(tǒng)版本，如圖2所示.

圖2 描藍包所顯示的數(shù)據(jù)有一段Windows Server 2003（紅框所示）

后續(xù)會進行一段時間的相互通信，通過數(shù)據(jù)分析發(fā)現(xiàn)，該通信包無明顯特征，應(yīng)該是為防止下斷recv，增加分析recv包的難度。經(jīng)過該段時間通信后，控制端會發(fā)送一個明顯突變的包，然后受控機開始進行向外DDoS攻擊。通過分析該包內(nèi)容，該包明顯相較于其他數(shù)據(jù)包不一樣，對比隨后就發(fā)生的DDoS攻擊的目的IP地址，發(fā)現(xiàn)該包包含了DDoS攻擊目標(biāo)IP與端口號，因此可判斷為該包為指令包，如圖3所示。

圖3 描藍即為指令包，受控機收到該包后隨后控制機即對外部進行DDoS攻擊，其中紅框即為目標(biāo)攻擊IP

3.2 文件逆向分析

通過對程序逆向分析，發(fā)現(xiàn)程序運行后會獲取主機的信息（系統(tǒng)版本、CPU架構(gòu)，網(wǎng)卡信息，MAC地址），如圖4、5、6、7所示：

圖4 系統(tǒng)版本

圖5 CPU核心和架構(gòu)

圖 6 系統(tǒng)網(wǎng)絡(luò)接口和MAC地址

對gethostbyname下斷可發(fā)現(xiàn)受控機會首先獲取*.softcoo.com這個域名獲取主機地址信息，如圖7所示。

圖7 通過固定域名獲取主機地址信息

對connect下斷可以發(fā)現(xiàn)連接的控制機的目的地址為：*.*.242.6，如圖8所示：

圖 8 逆向分析出connect控制機IP地址為：*.*242.6

對send下斷可以發(fā)現(xiàn)所發(fā)送的第一個數(shù)據(jù)包內(nèi)容為，如圖9所示，與圖1中“報告包”數(shù)據(jù)內(nèi)容對比可發(fā)現(xiàn)，該數(shù)據(jù)內(nèi)容一致。

圖 9  send截獲的“報告包”

由于后面實際打DDoS攻擊使用的是自帶驅(qū)動Winpcap直接操作網(wǎng)卡來進行發(fā)包，因而OllyDbg截獲不了所發(fā)的封包，但是可以通過Wireshark抓包軟件來捕獲，如圖10所示。

圖10 攻擊流量包

四 總結(jié)

經(jīng)過以上分析，我們可以發(fā)現(xiàn)該DDoS木馬的并沒有太復(fù)雜的DDoS攻擊模式，而且也沒有自啟動模塊，當(dāng)外部程序啟動它后，就會接受遠程控制，來對目標(biāo)IP發(fā)動攻擊。該攻擊行為由于是直接操作驅(qū)動進行，所以客戶端沒有很好的阻斷方式。

不過，由于本機文件特征比較明顯，它的同目錄文件夾下會帶有npf.sys驅(qū)動，因而是個比較明顯的特征。

最后，該DDoS工具傳播范圍比較大，當(dāng)發(fā)現(xiàn)機器上有異常流量的時候，可以直接檢查下自己服務(wù)器上面是否存在此惡意工具文件。

最新評論