從2017年中“永恒之藍”勒索病毒席卷全球，到2018年初的“英特爾CPU漏洞事件”大爆發(fā)，近年來，隨著網(wǎng)絡(luò)技術(shù)水平的不斷提升，以“云物移大智”等為代表的新興技術(shù)得到廣泛應(yīng)用，新產(chǎn)業(yè)新模式層出不窮，帶來了全新的商業(yè)化圖景，但隨之而來的日益嚴重的信息安全問題，也讓人們對網(wǎng)絡(luò)安全愈發(fā)關(guān)注與重視。

　　近日，金山云安珀實驗室成功破獲一起利用大規(guī)模僵尸網(wǎng)絡(luò)進行大流量DDoS攻擊的有組織活動，經(jīng)深入調(diào)查后發(fā)現(xiàn)，該組織掌握的肉雞最多高達75萬臺，通過層層加密隱匿攻擊源頭，在幕后對企業(yè)、機構(gòu)發(fā)動針對性的大規(guī)模DDoS攻擊，進而謀取不正當(dāng)利益。

　　安珀實驗室監(jiān)控到網(wǎng)絡(luò)流量突發(fā)異常后，第一時間進行分析排查，確定異常流量來自某幾臺被控制的云主機，正在在對外發(fā)起大流量的DDoS攻擊，深入調(diào)查后發(fā)現(xiàn)，這些云主機屬于某僵尸網(wǎng)絡(luò)控制的肉雞，最后順藤摸瓜，成功追蹤到攻擊源。下面詳細介紹分析過程。

　　1. 入侵分析

　　首先，根據(jù)事發(fā)主機的流量特征，在金山云分布式蜜網(wǎng)平臺中找到了被植入同一木馬的系統(tǒng)，然后提取了蜜罐中發(fā)起DDoS攻擊的木馬程序，名稱為libudev.so。并通過流量監(jiān)控，獲得了該木馬連接的C&C控制端IP：203.12.*.*。

　　隨后從該樣本中提取出三個C&C控制端服務(wù)器的域名：

　　baidu.gd***.com

　　pcdown.gd***.com

　　soft8.gd***.com

　　其中一個域名pcdown.gd***.com沒有解析記錄，可以判斷是備用域名。另外兩個域名解析到某一臺香港服務(wù)器上，IP正是前文提到的C&C控制端IP：203.12.*.*。

　　通過搜索根域名gd***.com的威脅情報數(shù)據(jù)，發(fā)現(xiàn)該根域名注冊于2015年，域名擁有者對該域名的Whois信息進行了隱匿。通過對歷史數(shù)據(jù)的查詢，找到一個早期注冊該域名的郵箱：145612****@***.com

　　2. 身份溯源

　　通過技術(shù)手段，拿到了C&C控制端機器(簡稱c1)的登入日志，綜合分析后判定c1為入侵者本人使用，而不是肉雞。從日志來源IP可以看到，入侵者有一定反偵察意識，利用了至少一層跳板主機企圖隱藏自己的真實IP，跳板主機IP為45.32.*.*(簡稱為v1)，歸屬地為日本。

　　同時，我們發(fā)現(xiàn)這臺主機還會向另一臺機器發(fā)起RDP連接，IP為203.12.*.*(簡稱為w1)。通過分析w1的登錄日志，我們發(fā)現(xiàn)攻擊者會在此機器中進行大量的入侵準(zhǔn)備和記錄等操作，因此我們判斷v1為攻擊者使用的最后一層跳板。此服務(wù)器歸屬于日本的VPS運營商vultr，vultr在國內(nèi)的付款是通過支付寶，信用卡等實名進行的。

　　我們繼續(xù)分析w1的日志，發(fā)現(xiàn)如下其他來源機器的信息：

　　s1、119.81.*.* 客戶端名稱：MS7

　　s2、203.12.*.* 客戶端名稱：WIN-3PLKM2PLE6E

　　s3、36.250.*.* 客戶端名稱：zhao**deMacBook

　　推斷名字為zhao**的人屬于該黑產(chǎn)團伙的一員。

　　通過對s3的檢測，發(fā)現(xiàn)它開放如下服務(wù)：

　　這是一個測試下載服務(wù)器的站點，截圖中可以發(fā)現(xiàn)8***.com這個域名，通過搜索威脅情報，此域名是一個釣魚欺詐域名。我們找到名字為wang**的人，他的郵箱為27473****@***.com。從郵箱相關(guān)信息判斷，此人從事黑產(chǎn)的可能性較大。

　　下圖為此域名歷史解析過的IP地址，結(jié)合之前我們分析的信息，可以判斷出這個團伙所在地為福建的可能性比較大。

　　結(jié)合上述線索，可以對團伙人員身份進行交叉定位。由于涉及信息敏感，此處不再深入介紹。

　　3. 僵尸網(wǎng)絡(luò)探查

　　通過技術(shù)手段，我們掌握了該團伙歷史上所有控制的肉雞IP列表，共有75萬之多

　　此外，我們還獲得了黑客的控制端程序，其客戶端配置界面如下：

　　上圖是其木馬生成器，可以配置DNS、C&C域名、配置文件地址等。可以看到，C&C地址以及版本號與當(dāng)前被捕獲的樣本類似。黑客可以在服務(wù)器端批量管理所有當(dāng)前活躍的肉雞，并可查詢其IP地址、版本、硬件架構(gòu)、處理器、時間戳、帶寬等信息。

　　4. 樣本分析

　　樣本運行后，首先通過readlink來獲取當(dāng)前樣本的運行路徑。樣本內(nèi)置了一個特定的解密算法，所有的加解密均采用該算法完成，算法邏輯如下：

　　char * encrypt_code(char * input, int length)

　　{

　　char * xorkeys = "BB2FA36AAA9541F0";

　　char * begin = input;

　　for(int i = 0; i < length; i++)

　　{

　　*input++ ^= xorkeys[i %16];

　　}

　　return begin;

　　}

　　通過上述解密算法，解密出樣本的配置信息，及C&C服務(wù)器上的配置文件路徑。解密后得到配置文件路徑：http://pcdown.gd***.com:85/cfg.rar，該文件在分析時已無法訪問。

　　之后通過fork子進程，調(diào)用setsid函數(shù)，切換到系統(tǒng)根目錄等方式，樣本創(chuàng)建了一個守護進程。接下來判斷運行時參數(shù)，如果傳入?yún)?shù)個數(shù)為2，則刪除自身，同時運行傳入的第2個參數(shù)，猜測此處或為樣本更新邏輯。

　　當(dāng)運行時參數(shù)個數(shù)不為3時，在之前解密出的系統(tǒng)路徑下復(fù)制自身，可選路徑有/usr/bin, /bin, /tmp, 并通過在樣本尾部添加11個隨機字符的方式，使自身的hash值每次都不同，用于對抗檢查hash值這一類的掃描。

　　樣本自身還攜帶了一個rootkit模塊，能夠?qū)ξ募?、端口等進行隱藏，給安全人員的手工排查帶來一定的困難。樣本運行時會將該模塊加載到系統(tǒng)內(nèi)核，一旦加載完成，就將該模塊文件從磁盤刪除。

　　下圖代碼是嘗試將自身作為服務(wù)寫入到系統(tǒng)啟動目錄下，使樣本每次能隨著系統(tǒng)自啟動。

　　接下來樣本會解密出遠程服務(wù)器地址，之間用|符號進行分隔。其中unk_80B324C處解出的地址列表為: soft8.gd***.com:3802|113.10.*.*:3802|baidu.gd***.com:3802

　　之后，調(diào)用rootkit模塊功能， 隱藏當(dāng)前進程所分配的端口號。

　　樣本最終創(chuàng)建了3個線程， 來分別執(zhí)行不同的任務(wù)。

　　Daemon_get_kill_process線程在一個循環(huán)中持續(xù)從服務(wù)器端下載配置文件，如果下載失敗，就休眠1800秒，下載成功后，解密配置文件，然后將內(nèi)容保存在kill_cfg變量中。

　　Kill_process線程在一個循環(huán)中持續(xù)監(jiān)聽服務(wù)器端下發(fā)的配置文件kill_cfg是否已經(jīng)下載成功，一旦下載完成，會讀取每一行的內(nèi)容，根據(jù)內(nèi)置的參數(shù)決定對某個特定的文件名及對應(yīng)進程進行刪除和終止。

　　Tcp_thread線程首先向c&c服務(wù)器發(fā)送肉雞的硬件及軟件信息，包括設(shè)備類型、設(shè)備版本、一段32個字節(jié)的隨機字符串組成的設(shè)備id、固定的字符串”STATIC”、當(dāng)前bot的版本號2.0.1、 內(nèi)存使用情況、cpu頻率、當(dāng)前網(wǎng)速，以及當(dāng)前設(shè)備上的rootkit的安裝情況等信息，這些信息在加密后被發(fā)送到服務(wù)器端。

　　然后，根據(jù)服務(wù)器的返回數(shù)據(jù)，首先計算crc值進行校驗，通過后對命令進行解碼，進入exec_packet控制流程。

　　控制流程目前包含了6個控制碼，分別為：

　　1. 停止攻擊

　　2. 創(chuàng)建多個線程發(fā)起攻擊

　　3. 下載文件并執(zhí)行

　　4. 更新bot樣本

　　5. 發(fā)送系統(tǒng)信息到指定服務(wù)器

　　6. 下載新的配置文件

　　5. 結(jié)語

　　本次事件由網(wǎng)關(guān)的一次突發(fā)流量異常引起，成功發(fā)現(xiàn)了黑客使用的控制服務(wù)器，最終掌握了一個數(shù)十萬肉雞規(guī)模的僵尸網(wǎng)絡(luò)，通過及時進行追蹤防護，有效避免了損失的發(fā)生。

　　金山云一直致力于構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境，面對惡意DDoS攻擊，金山云通過為用戶提供完整的安全解決方案，建立了全方位的防御體系。在金山云已備案域名最高可配備1Tbps的DDoS防護，用戶在遭遇大流量DDoS攻擊的情況下，通過在配置后將攻擊流量引至高防IP，確保源站穩(wěn)定可用。

　　諸如在面對易遭受攻擊的游戲行業(yè)，金山云高防解決方案針對游戲生命周期短、薄弱點多等痛點，提供大容量DDoS清洗服務(wù)，并通過開啟多臺云服務(wù)器，對抗CC攻擊，為用戶提供全方位的從物理到應(yīng)用層面的防護。

　　目前，金山云高防正在開放免費試用活動，電信聯(lián)通移動三線BGP機房，3月份期間均可以申請試用，歡迎隨時與我們聯(lián)系。

　　【關(guān)于金山云安珀實驗室】

　　實驗室專注于安全技術(shù)的研究與探索，涉獵領(lǐng)域包括僵尸網(wǎng)絡(luò)的探究、病毒木馬的分析、漏洞的利用與防御技術(shù)、安全事件的跟蹤分析等。安珀實驗室已深入多個流行的僵尸網(wǎng)絡(luò)家族，成功完成了多例溯源分析，并與公安部門合作聯(lián)合打擊網(wǎng)絡(luò)黑產(chǎn)，通過緊密協(xié)同業(yè)界最新安全動態(tài)，將研究成果發(fā)布出來與業(yè)界共享，為構(gòu)建安全健康的網(wǎng)絡(luò)環(huán)境而努力。