近期阿裡雲态勢感覺發現一起中控位于中國香港地區的DDoS惡意攻擊事件,通過追蹤溯源發現,該DDoS木馬是XorDDoS-botnet的新變種,中控域名為:jun6.f3322.net,中控伺服器IP是位于中國香港的118.184.43.7。從2017年11月份開始在網際網路上活動,持續至今。該木馬通過爆破的方式、以及JAVA Struts漏洞來抓取網上殭屍電腦,然後通過添加自啟動服務,和安裝RootKit驅動的方式以達到常駐殭屍電腦電腦的目的。通過與中控伺服器通信不斷進行更新疊代,而且時刻準備着接受黑客的攻擊指令,進而對國内外的許多使用者進行DDoS攻擊。
基于阿裡雲态勢感覺的大資料平台,我們對該DDoS-botnet組織進行了追蹤和簡要分析,發現該組織的中控主要集中在中國香港地區,且長期活躍,這引起了我們的高度關注。再次出發,我們對中國香港地區的DDoS-botnet做了簡單研究,從發展趨勢、木馬類型、攻擊類型、以及發起攻擊的破壞力等等多元度進行資料分析,給出中國香港地區DDoS黑産的概貌。
XorDDoS-botnet案例的詳細分析
XorDDoS-botnet樣本分析
-
樣本簡介
樣本的基本資訊如下:
- 樣本運作流程圖
中國香港地區 DDoS- botnet 态勢分析 - 樣本核心代碼分析
- 該DDoS木馬為了常駐殭屍電腦的電腦,它會在啟動的開始就添加自啟動服務。其代碼如下:
中國香港地區 DDoS- botnet 态勢分析
最後木馬會在crontab中添加定時任務,保證被結束程序後還能運作起來。
- 該木馬為了隐藏自己,還會攜帶rootkit驅動,如果該rootkit驅動程式存在,則會發送指令:0x9748712,隐藏程序的網絡端口。其核心代碼如下:
中國香港地區 DDoS- botnet 态勢分析
其中隐藏的網絡端口的核心代碼如下:
- 木馬啟動後,會解密出中控域名,并自動連接配接中控伺服器。其中解密中控域名的核心代碼如下:
中國香港地區 DDoS- botnet 态勢分析
我們通過動态調試,最終得到其解出來的中控域名為:jun6.f3322.net ,動态調試截圖如下:
d.木馬在與中控通訊過程中,會将殭屍電腦的cpu資訊、記憶體資訊、帶寬資訊全部上傳到中控伺服器上,以便黑客控制進行DDoS攻擊的強度。其核心代碼如下:
- 該DDoS木馬主要的攻擊類型有兩種:SYN攻擊和DNS攻擊。通過接受中控的指令,對攻擊目标發起攻擊。其核心代碼如下:
中國香港地區 DDoS- botnet 态勢分析
XorDDoS-botnet發展過程
阿裡雲态勢感覺發現該中控于2017年11月,其中控域名為:jun6.f3322.net。該黑客組織持續經營着該僵屍網絡,不斷疊代更新,持續至今。根據阿裡雲态勢感覺的大資料監控顯示,該僵屍網絡至少已經存活9個月之久,攻擊的全球不同地域的使用者數不計其數。下面是該XorDDoS-botnet的發展曆程:
該中控的殭屍電腦的變化趨勢
冰凍三尺非一日之寒,阿裡雲态勢感覺從持續跟蹤監控到的資料顯示,該XorDDoS僵屍網絡經過9個月左右的持續發展和更新疊代,殭屍電腦規模不斷壯大。在2018年4月份的時候,其殭屍電腦規模達到了頂峰,其變化趨勢圖如下:
該中控殭屍電腦攻擊使用者的國内外分布情況
該XorDDos僵屍網絡所控制的殭屍電腦數量龐大,其攻擊的受害使用者地理分布也十分廣,覆寫了國内的25個省區。其中中國香港地區的受害使用者數排名第二,是重災區。該XorDDoS僵屍網絡控制殭屍電腦攻擊受害使用者的數量及分布詳情如下圖:
阿裡雲态勢感覺通過對該XorDDoS僵屍網絡殭屍電腦的相關資料進行大資料統計,總結出了該僵屍網絡所攻擊的全球使用者的資料情況,其攻擊的全球不同區域的使用者的實時動态如下圖所示:
阿裡雲态勢感覺通過對該XorDDoS-botnet深入分析後,我們心中産生了一系列的疑問。為什麼該DDoS-botnet的攻擊能力如此強大?中國香港地區的DDoS黑色産業現狀如何?該XorDDoS-botnet會不會隻是其DDoS黑色産業的冰山一角?
中國香港地區DDoS-botnet的研究
目前現狀概述
DDoS黑色産業由來已久,但是經久不衰,持續的威脅和迫害者網上的個人使用者以及企業使用者。這些年網際網路技術的飛速發展,DDoS産業的随着時代的步伐不斷進步,由以前的幾個G的攻擊流量增加到幾百G,甚至高達T級别的攻擊流量。尤其是反射攻擊,比如今年的memcache反射攻擊,将攻擊威力放大近萬倍,攻擊流量輕易就可以達到T級别。不僅攻擊流量增大很多,其中可參與DDoS攻擊的裝置類型也有增加,除了傳統的linux和windows伺服器,還增加了龐大IOT裝置。
據阿裡雲态勢感覺的大資料分析平台統計,目前中國國内的DDoS類的殭屍電腦規模在百萬級别,而我們這次調研的中國香港地區的DDoS殭屍電腦規模占據了總量的2%-3%左右。且香港地區的的DDoS-botnet的攻擊類型也十分 的豐富,多達十幾種。市面上目前比較流行的各DDoS木馬家族在香港地區也有發現,發現XorDDoS木馬家族 占比較高。 該地區殭屍電腦的DDoS攻擊流量範圍也十分的廣,最小攻擊流量在1G左右,最大攻擊流量在500G至1T之間,對網際網路上使用者的危害非常之大。
中控數量統計
阿裡雲态勢感覺大資料監控顯示,從2018年初至今,香港地區的DDoS僵屍網絡的中控數量還在不斷攀升,以下是目前在香港地區的DDoS-botnet中控數量的變化趨勢:
常用DDoS木馬類型統計
目前香港地區發現的DDoS類木馬的種族也十分豐富,有XorDDoS家族、Gates家族、Mayday家族等等,幾乎涵蓋了市面上所有流行的DDoS木馬類家族。其中XorDDoS家族占比最高,這也恰恰驗證了上文分析的XorDDoS-botnet的攻擊能力為什麼如此強大。下面是中國香港地區常用DDoS類木馬家族的占比詳情圖:
殭屍電腦數量統計
從阿裡雲态勢感覺近半年監控到的DDoS-botnet資料顯示,香港地區的DDoS類殭屍電腦的數量起伏比較大,在2018.02時該地區的殭屍電腦數量達到小高峰。以下是近半年香港地區的DDoS類殭屍電腦的變化趨勢圖
DDoS攻擊類型統計
據阿裡雲态勢感覺的大資料分析統計,中國香港地區的DDoS攻擊類型十分豐富,幾乎涵蓋了目前DDoS黑産裡面的所有常用的,且攻擊流量大的攻擊類型,其中反射型的攻擊方式有逐漸成為主流攻擊方式的趨勢。以下是香港地區的所有的攻擊類型及其所占的比例的詳情圖:
DDoS攻擊破壞力統計
香港地區的DDoS類殭屍電腦雖然隻占全國殭屍電腦總量的2%-3%,但是該地區殭屍電腦的DDoS攻擊破壞力卻不小。最小攻擊流量在1G左右,其最大攻擊流量在500G以上,其中攻擊流量在100G以上的,約占總量的50%左右。以下是香港地區DDoS類殭屍電腦攻擊流量範圍占比圖:
總結及建議
DDoS攻擊是網絡安全攻防領域長盛不衰的話題。近些年随着各種技術的快速發展,DDoS黑色産業也在不斷進步。尤其是反射性DDoS攻擊的出現,為DDoS攻擊産業提供了"核武器",将攻擊流量放大近萬倍,最高可達5萬倍,其殺傷力可見一斑。透過對中國香港地區DDoS-botnet的研究,以及結合阿裡雲态勢感覺的大資料分析,我們可以宏觀的看到中國香港地區DDoS産業的"繁華"。今年以來中控數量不斷攀升,攻擊木馬類型日漸豐富,攻擊流量更是突破T級别,百G攻擊流量已占比達到50%左右。顯而易見,中國香港地區的個人使用者和企業使用者正在遭受各種DDoS-botnet的控制和攻擊,其個人使用者和企業加強安全防範措施已迫在眉睫,尤其企業使用者。他們需要強大的保護傘,來保護其各種業務的正常運作,不至于被DDoS攻擊至癱瘓。阿裡雲不僅具備強大的計算能力、大資料處理能力,它還具備很高的安全性,擁護抗DDoS的專業防護産品,可以防護各種類型的DDoS攻擊,是各大企業抗DDoS攻擊的不錯選擇。
對于大中小企業而言,如何做好DDoS攻擊的防範工作,以及提前應該部署哪些安全防禦措施,阿裡雲安全專家建議如下:
- 盡早發現系統存在的攻擊漏洞,及時安裝系統更新檔程式,避免企業的電腦淪為黑客的殭屍電腦,被利用來對外進行DDoS攻擊。
- 經常檢查實體裝置,禁止裝置上的不必要的服務和端口。建立邊界安全界限,確定進出包都能受到正确的限制
- 利用網絡安全裝置來加強企業的網絡安全。配置好這些裝置的安全規則,過濾掉僞造資料包。
- 盡可能的将企業的服務采用分布式叢集的方式部署。當企業伺服器的一個節點被攻擊而無法提供正常服務的時候,通過負載均衡排程,自動将企業服務切換到其他伺服器節點上去,確定企業服務正常運轉,避免被攻擊後出現企業服務癱瘓的情況。
附錄: