DDoS攻擊通過大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源，以達(dá)到癱瘓網(wǎng)絡(luò)的目的，詞文章主要是針對(duì)那些對(duì)一種被大量肉雞使用，面向目標(biāo)IP發(fā)起DDoS攻擊的木馬工具。

本篇文章是對(duì)一種被大量肉雞使用，面向目標(biāo)IP發(fā)起DDoS攻擊木馬工具的詳細(xì)分析。

一 背景

近期，阿里云云盾安全攻防對(duì)抗團(tuán)隊(duì)通過異常流量分析和攻擊溯源發(fā)現(xiàn)了一種被大量肉雞使用，面向目標(biāo)IP發(fā)起DDoS攻擊的木馬工具。經(jīng)過取樣和入侵分析，我們發(fā)現(xiàn)該DDoS攻擊工具大部分是由于網(wǎng)絡(luò)上某些服務(wù)器存在Mysql或SqlServer弱密碼等原因被入侵，被黑客傳入大量惡意軟件，其中包括該款DDoS工具：

文件名：DbProtectSupport.exe MD5：412e6b0de470907cba75e00dde5a0086

該DDoS工具運(yùn)行后先通過反彈的方式主動(dòng)與遠(yuǎn)程主機(jī)連接，遠(yuǎn)程控制機(jī)隨后向該DDoS工具傳遞攻擊的目標(biāo)IP。DDoS工具隨后使用自己所攜帶的Winpcap驅(qū)動(dòng)直接操作網(wǎng)卡發(fā)包，向目標(biāo)IP發(fā)動(dòng)SYN流量攻擊。

二 樣本簡(jiǎn)介

該DDoS工具啟動(dòng)后，會(huì)先獲取主機(jī)信息（系統(tǒng)版本、CPU架構(gòu)，網(wǎng)卡信息，MAC地址），然后主動(dòng)通過設(shè)定好的域名來連接遠(yuǎn)程主機(jī)。建立連接后，將這些信息發(fā)送給遠(yuǎn)程主機(jī)。同時(shí)，工具會(huì)創(chuàng)建線程等待主機(jī)發(fā)來攻擊目標(biāo)IP。當(dāng)遠(yuǎn)程控制機(jī)與該DDoS進(jìn)行一系列的準(zhǔn)備工作通信后，會(huì)給其發(fā)送一個(gè)攻擊指令包，該指令包會(huì)包含攻擊目標(biāo)IP地址。

該DDoS工具接收到攻擊指令后，會(huì)自助將目標(biāo)IP填充為SYN包，然后調(diào)用Winpcap驅(qū)動(dòng)，直接操作網(wǎng)卡發(fā)送填充好的攻擊流量包。攻擊流程如圖1所示。

圖1 攻擊流程

三 詳細(xì)分析

3.1 網(wǎng)絡(luò)流量分析

在測(cè)試機(jī)中(由于隱私需要，將部分機(jī)器IP、MAC地址隱藏)將該程序啟動(dòng)，通過分析網(wǎng)絡(luò)流量會(huì)發(fā)現(xiàn)該程序在與遠(yuǎn)程控制機(jī)建立連接后會(huì)立即向遠(yuǎn)程主機(jī)發(fā)生一個(gè)“報(bào)告包”，該包包含了本機(jī)的系統(tǒng)版本，如圖2所示.

圖2 描藍(lán)包所顯示的數(shù)據(jù)有一段Windows Server 2003（紅框所示）

后續(xù)會(huì)進(jìn)行一段時(shí)間的相互通信，通過數(shù)據(jù)分析發(fā)現(xiàn)，該通信包無明顯特征，應(yīng)該是為防止下斷recv，增加分析recv包的難度。經(jīng)過該段時(shí)間通信后，控制端會(huì)發(fā)送一個(gè)明顯突變的包，然后受控機(jī)開始進(jìn)行向外DDoS攻擊。通過分析該包內(nèi)容，該包明顯相較于其他數(shù)據(jù)包不一樣，對(duì)比隨后就發(fā)生的DDoS攻擊的目的IP地址，發(fā)現(xiàn)該包包含了DDoS攻擊目標(biāo)IP與端口號(hào)，因此可判斷為該包為指令包，如圖3所示。

圖3 描藍(lán)即為指令包，受控機(jī)收到該包后隨后控制機(jī)即對(duì)外部進(jìn)行DDoS攻擊，其中紅框即為目標(biāo)攻擊IP

3.2 文件逆向分析

通過對(duì)程序逆向分析，發(fā)現(xiàn)程序運(yùn)行后會(huì)獲取主機(jī)的信息（系統(tǒng)版本、CPU架構(gòu)，網(wǎng)卡信息，MAC地址），如圖4、5、6、7所示：

圖4 系統(tǒng)版本

圖5 CPU核心和架構(gòu)

最新評(píng)論