最新进展:
根据我们的监测,截至发稿时,Lizard Squad组织正在利用僵尸网络攻击如下目标:
1、http://www.twit**.tv/ (192.16.**.***)
2、https://www.voxili**.com/ (109.163.***.**)
阿里安全研究实验室在2015年5月19日捕捉到全球臭名昭著的“蜥蜴黑客组织(Lizard Squad)”最新的木马蠕虫,该黑客组织可谓与另一黑客组织“匿名者黑客组织”(Anonymous)齐名,擅长动用僵尸网络进行分布式拒绝服务(DDOS攻击),去年的Sony娱乐和Xbox Live就遭受该组织的DDOS攻击,这里我们将对最新的木马蠕虫样本进行深入剖析。
阿里安全研究实验室在2015年4月份第一次在某智能设备里面捕捉到该木马样本时,该僵尸网络的C&C服务器节点已经失效,样本信息如下:
在这个样本挖掘出两个种马服务器和C&C服务器,从而推测以上样本应该是第二次变种样本,这两个IP是176.10.XXX.XXX和69.163.XXX.XXX,VT对这两个IP的评估结果如下:
176.10.XXX.XXX:
69.163.XXX.XXX:
看上面两张图里面的检测时间是在2014年10月份和12月份,这两个时间段的前后该组织攻击了Sony PlayStation网络和Xbox在线网络。
木马特点
我们着重讲述一下我们最新捕捉到的样本和其功能,该木马有如下特点:
1.弱口令扫描telnet服务
2. 弱口令登录到受害者机器后从木马服务器下载脚本bin2.sh到本地运行,然后通过tftp把各种硬件体系的木马下载下来执行,总有一款适合你!
3. 利用busybox的tftp客户端或者wget下载相应的木马蠕虫软件并运行。
4. 连接C&C服务器接受指令,如果下发的是scanner on的指令,它将执行弱口令扫描并感染其它主机:
5. 停掉telnetd服务和sshd服务,目的是为了防止反复感染同一台机器。
6. 连接C&C服务器接受指令时间频率是5分钟,如果收到攻击某个ip和端号还是时长,则对该IP进行ddos攻击:
7. 该僵尸木马共享同一套源代码,分布支持的平台有arm/mips/ppc/mips64/i586/i686/mipsel/mips32/sparc/superh
8. 该僵尸木马为了提升兼容性,不会依赖任何动态库,调用api都是以syscall的方式来进行调用,如下图是i686和arm下面的样本中syscall的调用方式,以函数open为例:
arm:
9.该木马会攻击任何具有开放telnet服务且有弱口令的智能设备或系统中。
到发稿为止只有部分杀软能够查杀,很多主流杀毒软件没有覆盖:
最后,从Lizard Squad最新一条twitter内容可知,Lizard Squad正在计划干下一票,这个变种也应该是最近才上线的,我们也将通过它们的僵尸网络的通信协议来监控谁将是下一个受害者,敬请期待。
Lizard Squad的C&C服务器上常常也会放上他们引用的twitter页面。
FreeBuf百科:黑客组织“蜥蜴(Lizard Squad)”
简介
黑客组织Lizard Squad以发动大规模的DDoS攻击而成名,号称“DDoS之王”。他们曾经攻陷过世界上多个大型游戏网络,比如Xbox Live、索尼Playstation Network、Jagex、暴雪、英雄联盟等等。Lizard所使用的攻击软件名为Lizard Stresser。Lizard Stresser,是一款强大的DDoS工具,它主要利用被感染的家用路由器的网络带宽流量发起对目标的攻击。点我了解更多
战绩榜
1. 2014年8月18日,游戏“英雄联盟”服务器被该组织DDOS攻击打挂,该组织第一次“崭露头角”
2. 2014年11月23日,该组织承认DDOS攻击了游戏“命运”的服务器
3. 2014年8月24日/12月8日,Sony的PlayStation网络遭受DDOS攻击,该组织表示为此负责
4. 2014年12月1日,Xbox在线被该组织攻击
5. 2014年12月2日,该组织黑掉了machinima.com网站
6. 2014年12月22日,该组织DDOS攻击了朝鲜互联网
7. 2014年圣诞攻击,针对Xbox在线和Sony PlayStation网络
8. 2014年12月26日,声称攻击了3000多洋葱路由匿名网络的中继节点,不过Tor负责人说言过其实
9. 2014年8月24,航班炸弹威胁,FBI介入调查
10. 2015年1月26日,DDOS攻击facebook和instagram
11. 2015年1月27日,黑掉美国著名歌手Taylor Swift的Twitter和Instagram帐号,宣称要拿她的裸照换比特币,Taylor Swift说你随便玩,我没有祼照在这里面
Lizard Squad Twitter地址:http://en.wikipedia.org/wiki/Lizard_Squad,https://twitter.com/LizardLands
* 作者/谢君(阿里安全研究实验室),FreeBuf增加部分内容,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
关注我们 分享每日精选文章
不容错过
- 「安全大咖说」专访360核心安全负责人:郑文彬(MJ0011)| FB视频Sophia2016-07-13
- 混搭新式:社工+powershell,轻松畅游主机东二门陈冠希2016-05-30
- GSM Hacking:使用BladeRF、树莓派、YatesBTS搭建便携式GSM基站鸢尾2016-04-25
- 隔墙有耳:黑客可以“听到”离线计算机的密钥GeekPwn2016-02-17
Copyright © 2013 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
0daybank
已有 37 条评论
噼里啪啦,
前几天网易不会是他们干的吧
坐等后续
其实我想说的是究竟是你们在4月抓的样本还是在昨天晚上抓的样本啊?
整个分析报告的前段部分看得我好晕啊!
而且还有一点就是“木马蠕虫”这个名词如何解释?一份报告颠覆了我们这么多旧有的观念实际上很疯狂啊!
希望报告尽量谨慎、专业!谢谢
@ radiowar 其实我更关心他们怎么做的背景认定,怎么认为这东西和某组织有关,没有突出来。另外植入途径貌似也有遗漏,破壳漏洞居然只字未提……报告如你所说确实有欠严谨。
@ 雷小某 就算使用了破壳,本身有一个很大的问题就是对于恶意代码代码的分类就有一个很大的问题,究竟是以一个神马角度去分析的?bin.sh作为攻击脚本的情况下,实际上这更加像是Botnet在初期是使用傀儡机进行弱口令/漏洞扫描,从而自动化脚本进行利用,从而在C&C服务器下载恶意代码脚本进行二次傀儡利用,从原理和手法上来说是基于Worm,和木马有神马关系呢?我看不懂。
我也请教了安天的首席架构师江海客,他也认为说“木马蠕虫”的说法是互斥的,按照安天的分类,这怎么说也只能够说是非智能的Worm。
Worm的潜伏期、感染期、触发期更加是适合这个报告的手法。
而且还有一点,希望阿里安全团队给一个准确的答复就是所谓智能设备,你家的HIWIFI也能够说智能设备的话,那样子openwrt就是智能OS,我就没话说了!用APT的思维去作为分析报告的背景思维的话,这也有点扯了!
@ 雷小某 最新变种样本没有利用破壳漏洞
@ radiowar 道出了心声,总感觉这报告写的怪怪的有点四不像,最后一句点醒了。受小弟一膝盖!
@ radiowar 最新样本是利用弱口令扫描加自动植入,老样本也是这样,我们没有捕捉到利用破壳漏洞的样本,关于智能设备我没有提hiwifi吧,而且我们认定的设备是智能设备是没有问题的,虽然也不是用的openwrt
@ vessial 首先表示很惊讶的是~你去了阿里啊~~~~~
既然是你,这样子说话就不用这么避忌了,按照你以前的经验应该不会把木马蠕虫这种东西写出来的吧?
而且行文仓促是真的看得出来,因为文章前面部分真的是看的很晕啊!
我说智能硬件是HIWIFI的意思是希望不要搞混智能硬件这个概念。
@ radiowar 行为仓促是因为从捕捉到分析到写文档不超过12个小时,呵呵,关于木马蠕虫的说法,我觉得个人理解吧,也许有人觉得不合适,我没有太在意,只是觉得不太重要,没必要太纠结这些概念,呵呵
@ 雷小某 V大也说了行文仓促并且不要在意相关的原理概念了~我们就不要纠结了嘛~
国内这些分析报告,都发出来了,还遮遮掩掩的,你发他干毛 !
阿里的安全专家真是厉害!
哪个国家的
某智能设备:海康?
@ 雷小某 呵呵
我草,看起来还不错。
分析了一个月?
没事我最近天天吃东西吃到睡觉
是啊,来了半年多了:),你创业可好:)
崇拜啊?
好热闹
看来这个组织发攻击时候来个开场白,试验一下他们新的成果?或许用新的方法来挑战啊
好强大的分析报告
阿里魅力真大啊,哈哈
坐等阿里被D
其实我也蛮有兴趣测试这样的技术—希望有大神组织
如何认定这个跟蜥蜴有关的呢?就是因为某些时间关联是否牵强啊
@ 烁皓 http://weibo.com/p/1005051650374787/ , http://www.forbes.com/sites/davidthier/2015/05/20/this-latest-lizard-squad-attack-fell-totally-flat/ ,https://twitter.com/LizardLands ,人家自己都承认了打runescape游戏服务器了
忽悠啊,你妹的Lizard Squad啊,这玩意哪里跟Lizard Squad有关了,起初就是个 telnet 弱口令 arm,mips,mipsel的穷举传播DDOS程序.
请 google Linux.Fgt
14年就大范围传播了,后来网上公布说有利用shellshock的,但是没见过样本
@ sanlib http://weibo.com/p/1005051650374787/ , http://www.forbes.com/sites/davidthier/2015/05/20/this-latest-lizard-squad-attack-fell-totally-flat/ ,https://twitter.com/LizardLands ,人家自己都承认了打runescape游戏服务器了
居然搞我女神泰勒推特= =
阿里魅力真大啊,哈哈