lizard squad

lizard squad
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
阿里安全：已捕捉到黑客组织“蜥蜴（Lizard Squad）”最新木马及攻击目标 阿里安全认证厂商2015-05-20共410685人围观 ，发现 38 个不明物体 头条网络安全
Lizard-Squad-Graphic.jpg

最新进展：

根据我们的监测，截至发稿时，Lizard Squad组织正在利用僵尸网络攻击如下目标：

1、http://www.twit**.tv/ （192.16.**.***）
2、https://www.voxili**.com/ （109.163.***.**）
阿里安全研究实验室在2015年5月19日捕捉到全球臭名昭著的“蜥蜴黑客组织（Lizard Squad）”最新的木马蠕虫，该黑客组织可谓与另一黑客组织“匿名者黑客组织”（Anonymous）齐名，擅长动用僵尸网络进行分布式拒绝服务(DDOS攻击)，去年的Sony娱乐和Xbox Live就遭受该组织的DDOS攻击，这里我们将对最新的木马蠕虫样本进行深入剖析。

阿里安全研究实验室在2015年4月份第一次在某智能设备里面捕捉到该木马样本时，该僵尸网络的C&C服务器节点已经失效，样本信息如下:

c2jiedian.png

在这个样本挖掘出两个种马服务器和C&C服务器，从而推测以上样本应该是第二次变种样本，这两个IP是176.10.XXX.XXX和69.163.XXX.XXX，VT对这两个IP的评估结果如下:

176.10.XXX.XXX：

1.png

69.163.XXX.XXX：

2.png

看上面两张图里面的检测时间是在2014年10月份和12月份，这两个时间段的前后该组织攻击了Sony PlayStation网络和Xbox在线网络。

木马特点

我们着重讲述一下我们最新捕捉到的样本和其功能，该木马有如下特点：

1.弱口令扫描telnet服务

telnet.png3.png

2. 弱口令登录到受害者机器后从木马服务器下载脚本bin2.sh到本地运行，然后通过tftp把各种硬件体系的木马下载下来执行，总有一款适合你!

muma.png

3. 利用busybox的tftp客户端或者wget下载相应的木马蠕虫软件并运行。

4. 连接C&C服务器接受指令，如果下发的是scanner on的指令，它将执行弱口令扫描并感染其它主机:

zhuji1.png

zhuji2.png

zhji3.png

5. 停掉telnetd服务和sshd服务，目的是为了防止反复感染同一台机器。

fanfu.png

6. 连接C&C服务器接受指令时间频率是5分钟，如果收到攻击某个ip和端号还是时长，则对该IP进行ddos攻击：

ddos.png

7. 该僵尸木马共享同一套源代码，分布支持的平台有arm/mips/ppc/mips64/i586/i686/mipsel/mips32/sparc/superh

8. 该僵尸木马为了提升兼容性，不会依赖任何动态库，调用api都是以syscall的方式来进行调用，如下图是i686和arm下面的样本中syscall的调用方式，以函数open为例：

open.png

arm：

arm.png

arm2.png

9.该木马会攻击任何具有开放telnet服务且有弱口令的智能设备或系统中。

到发稿为止只有部分杀软能够查杀，很多主流杀毒软件没有覆盖：

sharuan.png

最后，从Lizard Squad最新一条twitter内容可知，Lizard Squad正在计划干下一票，这个变种也应该是最近才上线的，我们也将通过它们的僵尸网络的通信协议来监控谁将是下一个受害者，敬请期待。

t1.png

t2.png

Lizard Squad的C&C服务器上常常也会放上他们引用的twitter页面。

FreeBuf百科：黑客组织“蜥蜴（Lizard Squad）”
简介

黑客组织Lizard Squad以发动大规模的DDoS攻击而成名，号称“DDoS之王”。他们曾经攻陷过世界上多个大型游戏网络，比如Xbox Live、索尼Playstation Network、Jagex、暴雪、英雄联盟等等。Lizard所使用的攻击软件名为Lizard Stresser。Lizard Stresser，是一款强大的DDoS工具，它主要利用被感染的家用路由器的网络带宽流量发起对目标的攻击。点我了解更多

战绩榜

1. 2014年8月18日，游戏“英雄联盟”服务器被该组织DDOS攻击打挂，该组织第一次“崭露头角”‍‍
‍‍2. 2014年11月23日，该组织承认DDOS攻击了游戏“命运”的服务器
‍‍‍‍3. 2014年8月24日/12月8日，Sony的PlayStation网络遭受DDOS攻击，该组织表示为此负责
‍‍‍‍4. 2014年12月1日，Xbox在线被该组织攻击
‍‍‍‍5. 2014年12月2日，该组织黑掉了machinima.com网站
‍‍‍‍6. 2014年12月22日，该组织DDOS攻击了朝鲜互联网
‍‍‍‍7. 2014年圣诞攻击，针对Xbox在线和Sony PlayStation网络
‍‍‍‍8. 2014年12月26日，声称攻击了3000多洋葱路由匿名网络的中继节点，不过Tor负责人说言过其实
‍‍‍‍9. 2014年8月24，航班炸弹威胁，FBI介入调查
‍‍‍‍10. 2015年1月26日，DDOS攻击facebook和instagram
‍‍‍‍11. 2015年1月27日，黑掉美国著名歌手Taylor Swift的Twitter和Instagram帐号，宣称要拿她的裸照换比特币，Taylor Swift说你随便玩，我没有祼照在这里面
Lizard Squad Twitter地址：http://en.wikipedia.org/wiki/Lizard_Squad，https://twitter.com/LizardLands

* 作者/谢君（阿里安全研究实验室），FreeBuf增加部分内容，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM)

阿里安全
阿里安全
32 篇文章
等级： 6级
||
上一篇：IPsec Tools拒绝服务0day漏洞详细报告（文后附0day）下一篇：美方以经济间谍罪起诉6名中国公民，天津大学教授被捕
发表评论已有 38 条评论

Fiend520 (7级) 2015-05-20回复 1楼
噼里啪啦，

亮了(3)

父亲 (4级) 2015-05-20回复 2楼
前几天网易不会是他们干的吧

亮了(3)

牛客网 2015-05-20回复 3楼
威武

亮了(1)

pwelyn (1级) 2015-05-20回复 4楼
坐等后续

亮了(1)

susftp (5级) 中 2015-05-20回复 5楼

亮了(1)

radiowar 认证作者(6级) 国内首个公开专注研究无线类安全团队 2015-05-20回复 6楼
其实我想说的是究竟是你们在4月抓的样本还是在昨天晚上抓的样本啊？

整个分析报告的前段部分看得我好晕啊！

而且还有一点就是“木马蠕虫”这个名词如何解释？一份报告颠覆了我们这么多旧有的观念实际上很疯狂啊！

希望报告尽量谨慎、专业！谢谢

亮了(2)

雷小某 (1级) 2015-05-20回复
@ radiowar 其实我更关心他们怎么做的背景认定，怎么认为这东西和某组织有关，没有突出来。另外植入途径貌似也有遗漏，破壳漏洞居然只字未提……报告如你所说确实有欠严谨。

亮了(0)

radiowar 认证作者(6级) 国内首个公开专注研究无线类安全团队 2015-05-20回复
@ 雷小某 就算使用了破壳，本身有一个很大的问题就是对于恶意代码代码的分类就有一个很大的问题，究竟是以一个神马角度去分析的？bin.sh作为攻击脚本的情况下，实际上这更加像是Botnet在初期是使用傀儡机进行弱口令/漏洞扫描，从而自动化脚本进行利用，从而在C&C服务器下载恶意代码脚本进行二次傀儡利用，从原理和手法上来说是基于Worm，和木马有神马关系呢？我看不懂。

我也请教了安天的首席架构师江海客，他也认为说“木马蠕虫”的说法是互斥的，按照安天的分类，这怎么说也只能够说是非智能的Worm。

Worm的潜伏期、感染期、触发期更加是适合这个报告的手法。

而且还有一点，希望阿里安全团队给一个准确的答复就是所谓智能设备，你家的HIWIFI也能够说智能设备的话，那样子openwrt就是智能OS，我就没话说了！用APT的思维去作为分析报告的背景思维的话，这也有点扯了！

亮了(2)

vessial (1级) 2015-05-20回复
@ 雷小某 最新变种样本没有利用破壳漏洞

亮了(0)

雷小某 (1级) 2015-05-20回复
@ radiowar 道出了心声，总感觉这报告写的怪怪的有点四不像，最后一句点醒了。受小弟一膝盖！

亮了(0)

vessial (1级) 2015-05-20回复
@ radiowar 最新样本是利用弱口令扫描加自动植入，老样本也是这样，我们没有捕捉到利用破壳漏洞的样本，关于智能设备我没有提hiwifi吧，而且我们认定的设备是智能设备是没有问题的，虽然也不是用的openwrt

亮了(0)

radiowar 认证作者(6级) 国内首个公开专注研究无线类安全团队 2015-05-20回复
@ vessial 首先表示很惊讶的是~你去了阿里啊~~~~~

既然是你，这样子说话就不用这么避忌了，按照你以前的经验应该不会把木马蠕虫这种东西写出来的吧？

而且行文仓促是真的看得出来，因为文章前面部分真的是看的很晕啊！

我说智能硬件是HIWIFI的意思是希望不要搞混智能硬件这个概念。

亮了(0)

vessial (1级) 2015-05-20回复
@ radiowar 行为仓促是因为从捕捉到分析到写文档不超过12个小时，呵呵，关于木马蠕虫的说法，我觉得个人理解吧，也许有人觉得不合适，我没有太在意，只是觉得不太重要，没必要太纠结这些概念，呵呵

亮了(0)

radiowar 认证作者(6级) 国内首个公开专注研究无线类安全团队 2015-05-20回复
@ 雷小某 V大也说了行文仓促并且不要在意相关的原理概念了~我们就不要纠结了嘛~

亮了(0)

用户名得为空 (1级) 2018-06-01回复
阿里iot的大牛过了这么多年回过头来看 不知道会不会觉得丢人？脸上有光么/

亮了(0)

扯你蛋蛋 2015-05-20回复 7楼
国内这些分析报告，都发出来了，还遮遮掩掩的，你发他干毛 ！

亮了(1)

我们为什么要被捆绑 2015-05-20回复 8楼
阿里的安全专家真是厉害！鼓掌

亮了(0)

一个死跑龙套的的 2015-05-20回复 9楼
哪个国家的

亮了(0)

雷小某 (1级) 2015-05-20回复 10楼
某智能设备:海康？

亮了(0)

vessial (1级) 2015-05-20回复
@ 雷小某 呵呵

亮了(0)

jeric (1级) 2015-05-20回复 11楼
我草，看起来还不错。

亮了(0)

lasvegas 2015-05-20回复 12楼
分析了一个月?

亮了(0)

D_49 2015-05-20回复 13楼
没事我最近天天吃东西吃到睡觉

亮了(0)

vessial 2015-05-20回复 14楼
是啊，来了半年多了：），你创业可好：）

亮了(0)

纸鹤 (1级) 2015-05-20回复 15楼
崇拜啊？

亮了(0)

iceyes 认证作者(3级) Xmd5解密CEO 2015-05-20回复 16楼
好热闹

亮了(0)

jacker (6级) Ubuntu Arch Vim爱好者 2015-05-20回复 17楼
看来这个组织发攻击时候来个开场白，试验一下他们新的成果？或许用新的方法来挑战啊

亮了(0)

cnbird 2015-05-20回复 18楼
好强大的分析报告

亮了(0)

赵武在路上 2015-05-20回复 19楼
阿里魅力真大啊，哈哈

亮了(0)

有关领导 (2级) 2015-05-20回复 20楼
坐等阿里被D

亮了(3)

andy88 (6级) 我相信我加入互联网，就是我未来的路、希望有大神关注http:... 2015-05-21回复 21楼
其实我也蛮有兴趣测试这样的技术—希望有大神组织

亮了(2)

烁皓 (1级) 2015-05-21回复 22楼
如何认定这个跟蜥蜴有关的呢？就是因为某些时间关联是否牵强啊

亮了(0)

vessial (1级) 2015-05-21回复
@ 烁皓 http://weibo.com/p/1005051650374787/ ， http://www.forbes.com/sites/davidthier/2015/05/20/this-latest-lizard-squad-attack-fell-totally-flat/ ，https://twitter.com/LizardLands ,人家自己都承认了打runescape游戏服务器了

亮了(0)

sanlib (1级) 2015-05-21回复 23楼
忽悠啊,你妹的Lizard Squad啊,这玩意哪里跟Lizard Squad有关了,起初就是个 telnet 弱口令 arm,mips,mipsel的穷举传播DDOS程序.

请 google Linux.Fgt

14年就大范围传播了,后来网上公布说有利用shellshock的,但是没见过样本

亮了(0)

vessial (1级) 2015-05-21回复
@ sanlib http://weibo.com/p/1005051650374787/ ， http://www.forbes.com/sites/davidthier/2015/05/20/this-latest-lizard-squad-attack-fell-totally-flat/ ，https://twitter.com/LizardLands ,人家自己都承认了打runescape游戏服务器了

亮了(0)

pstack (1级) 2015-05-21回复 24楼

亮了(0)

炎葬Nether (1级) So long as makes 1% effort, ma... 2015-06-30回复 25楼
居然搞我女神泰勒推特= =

亮了(0)

白帽汇赵武 2015-05-20回复 26楼
阿里魅力真大啊，哈哈

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
阿里安全
阿里安全认证厂商

阿里巴巴集团安全应急响应中心

32
文章数
1
评论数
最近文章
DefineClass在Java反序列化当中的利用
2018.04.13

阿里安全归零实验室招聘安全人才
2018.04.10

毒眼系列报告之黄牛软件
2018.01.22

浏览更多
相关阅读
圣诞大作战：黑客组织计划攻击微软Xbox和索尼游戏网络号称要商业化的DDoS工具Lizard Stresser，客户数据库被脱了阿里安全：已捕捉到黑客组织“蜥蜴（Lizard Squad）”最新木马及攻击目标
3G/4G调制解调器中的安全漏洞：可致设备被完全控制RSA SecurIDs 13分钟内被破解
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php0daybank