nitol

1. 介绍

对Trojan[DDoS]/Win32.Nitol.C（下简称：Nitol.C）有所了解的反病毒研究人员或许都知道，Nitol最先是由鬼影工作室开发并通过某渠道将源码对外公开，致使网络上出现多种不同协议的Trojan[DDoS]/Win32.Nitol（下简称：Nitol）版本，所以国内又称“鬼影DDoS”。Nitol 家族是目前活跃在Windows环境下的主要botnet之一。

大多数Nitol家族的衍生版本都有一个比较显著的特点是使用了lpk.dll劫持，通过lpk.dll劫持实现将样本在受害设备上进行多磁盘横向备份感染，达到了长期潜伏于受害系统并远程操纵攻击的目的。Nitol“狼藉”江湖多年，发展至今已经有8+不同协议的衍生版本，且据监控到的威胁情报显示，这些Nitol家族组成的botnet每天都会对互联网上的某个目标发起攻击，严重威胁互联网的安全！这里主要讲的是Nitol家族的Nitol.C衍生版本（见图1-1 生成器界面），一个Nitol家族衍生版本的韩国僵尸网络及其威胁情报。

图1-1 生成器界面

2. 基本信息

表1-1 样本基本信息

3. 传播方式

从目前监控到的威胁情报看，Nitol.C的传播和感染方式主要有两个：

1、通过自动化批量IP网段漏洞利用，植入被控端木马。2017年上半年黑产最为流行的Windows自动化利用工具是”永恒之蓝”和st2，其中Nitol.C也存在使用这种自动化“抓鸡”方式进行部署botnet。

2、通过已有的botnet进行交叉感染。在已经部署的其他botnet上，通过批量执行远程下载命令（见图3-1 批量执行远程执行指令）进行快速植入韩版挂马站点webshare（见图3-2 webshare 挂马站点）的Nitol.C被控端木马。

图3-1 批量执行远程执行指令

图3-2 webshare 挂马站点

安天-捕风在自动化监控Nitol.C系列botnet时，也捕获到近百个上述类似的webshare挂马站点，见图3-2 捕获的webshare站点：

图3-3 捕获的webshare站点

4. 样本详细分析

从图1-1 获得的情报看（控制端-生成器界面、生成被控端的默认文件名称为“鬼影”拼音首写字母，且和“国产”版Nitol的重合），该家族确为Nitol家族的衍生版 。但是Nitol.C并没有真正的继承Nitol家族的所有攻击模式，只具备syn flood、tcp flood、http flood三大攻击向量。

1)样本备份和实现自启动功能。

见图4-1 样本备份。木马运行时首先验证注册表项的互斥量值“Serpiei”存在与否来鉴定自己是否第一次运行，如果第一次运行，木马会进行备份并根据设置决定是否实现自启动功能。

图4-1 样本备份

2)C2配置解密。

通过读取存放.data区段的全局变量得到C2密文，进行base64+凯撒+异或三重解密获取真实的C2。见图4-2 C2配置解密：

图4-2 C2配置解密

3)与C2建立通信连接，获取系统配置信息，向C2发送首包。见图4-3 与C2建立通信：

图4-3 与C2建立通信

4)等待接收并执行C2远程指令。Nitol.C被控端主要实现的是互斥量释放、cmd shell、样本下载、DDoS攻击4种远程指令，其中主要执行的还是DDoS攻击。见表4-1 远程指令类型：

表4-1 远程指令类型

5. 电信-云堤“肉鸡”情报反馈

据电信云堤可靠数据反馈，Nitol.C系列的botnets中有大量“肉鸡”潜伏在中国境内，而目前了解这些“肉鸡”的来源主要有2个：

1.通过地下网络黑产进行“肉鸡”收购。

2.通过漏洞利用工具进行批量抓鸡。也说明国内很多设备疏于维护，漏洞未能及时修补。

6. 安天-捕风攻击情报

Nitol.C系列样本，安天-捕风在2017年6月初开始分类检出并进行自动化监控。监控Nitol.C系列的攻击情报结果显示，截至2017年9月12日Nitol.C的主要C2基本部署于韩国（占95.7%），共发起间歇性DDoS攻击1,249次，制造298起DDoS攻击事件，而主要攻击目标也基本分布于韩国（占93.86%），攻击类型主要使用syn flood（占98.68%）攻击模式，其主要攻击事件的时间集中于2017年6月19日——2017年7月3日之间。见图6-1- Nitol.C攻击时间分布：

图6-1 Nitol.C攻击时间分布

表5-1攻击情报

近日，有媒体再次炒作因为某问题，韩国多个政府部门遭到来自中国的DDoS攻击。对此不禁要问：通过攻击流量的来源就可以鉴定真正的攻击幕后了吗？DDoS 攻击中“肉鸡”也是其中的受害者，要鉴定真正的DDoS攻击幕后不是依据攻击流量的来源，而是依据控制整个botnet的C2的操纵者。根据监控到的攻击威胁情报显示，自2017年1月1日至2017年9月12日，（监控到的）全球共发生125,604,685 次间歇性DDoS攻击（见图 6-2全球DDoS攻击威胁情报），攻击目标是韩国的有102,730 次，仅占据总攻击次数的0.08178%，而发起间歇性DDoS攻击韩国的C2主要来自于美国的约60%，其次是韩国本身约30+%，而来自中国和日本的仅占10%不到；C2位于韩国发起的间歇性DDoS攻击有3,390,321 次，占据总攻击次数的2.670%；C2位于韩国发起的间歇性DDoS攻击是攻击目标位于韩国的33倍；C2位于韩国向中国境内发起的间歇性DDoS攻击是3,100,239 次，占据C2位于韩国发起的间歇性DDoS攻击的94.14%，很直白的说明C2位于韩国的botnet主要攻击对象是中国境内目标；C2位于中国向韩国地域发起的间歇性DDoS攻击是37,015 次，仅占据C2位于中国发起攻击量的0.07638% （37,015/48,461,408）。所以，这个锅，中国黑客到底背不背呢？You known！I known！

图 6-2 全球DDoS攻击威胁情报

7. 总结

无论何情何理，未经授权肆意发起DDoS攻击都是不可取，通过DDoS攻击手段进行敲诈勒索更是违法行为！近些年来，大影响DDoS攻击事件越发频发，攻击流量也逐次刷新历史新高。DDoS botnet的“肉鸡”从单一的Windows环境延伸到Linux环境，现在也拓展到了IoT产业；DDoS botnet的控制端同样也从只兼容单一环境类型的“肉鸡”到完善兼容多环境类型的“肉鸡”；DDoS botnet的拓展也实现漏洞自动化利用进行“抓鸡”，达到了快速部署botnet并成型的效果。这些情况也都说明如今的大部分botnet所掌控的“肉鸡”量已经远远不止几千或上万台，每个botnet拥有的攻击能力都远远超于常人的想象，更何况根据监控到的情报显示，每次大型的DDoS攻击事件都是以组合“打怪”模式进行多个botnet组合攻击。从多维度分析表明，DDoS 攻击虽然是无害攻击，但也严重威胁了互联网的正常发展，对抗互联网的DDoS攻击，为互联网安全发展保驾护航的使命仍然任重而道远！

在此，也提醒广大互联网用户安全、健康上网，文明使用网络，安装杀毒、防毒软件并及时修补设备漏洞！

附录：参考资料

参考链接：

http://m.bobao.360.cn/learning/appdetail/4318.html

MD5:

a48478dd55d8b099409bb829fb2b282f

*本文作者：放牛娃，转载请注明来自 FreeBuf.COM