nitol

nitol
登录
注册
Nitol僵尸网络家族变种借“快猴网”套肉鸡腾讯电脑管家2017-11-13 首发专栏：腾讯电脑管家关注
腾讯安全反病毒实验室发现一个名叫快猴网（www.kuaihou.com）的下载站通过在一些游戏辅助工具包里置入lpk病毒，坐等“肉鸡”入坑。
0×1 概况

腾讯安全反病毒实验室发现一个名叫快猴网（www.kuaihou.com）的下载站通过在一些游戏辅助工具包里置入lpk病毒，坐等“肉鸡”入坑。

在裸机环境下，受害者在快猴下载站主动下载并运行自己需要的游戏辅助工具，然而受害者并不会注意到其辅助工具解包后的目录下隐藏着恶意文件lpk.dll，一旦同目录下的辅助工具运行，lpk.dlll就会被加载执行，继而lpk.dll会备份自身到受害者计算机磁盘的各个文件夹下，以争取自身更多的加载执行机会、更长的生命周期、更深的隐藏和潜伏，同时lpk.dll会释放一个随机名的EXE病毒，这个EXE病毒会连接&接受C2服务器的指令并发起DDOS攻击，电脑设备完全沦为Nitol的“肉鸡”。

众所周知 Nitol源码公开之后，各种不同协议的Nitol版本病毒衍生而出。目前Nitol家族仍然是盘踞在Windows环境下Botnet的“活跃分子”。Nitol的显著特点就是使用了lpk.dll劫持，通过lpk.dll劫持实现病毒样本在受害者电脑磁盘上进行横向复制感染，会向包括U盘等可移动磁盘、本地磁盘的一些文件夹下复制备份lpk.dll，以达到这些劫持攻击的目的。

2012年在一项代号b70的行动中，微软发现，中国某些零售商在出售电脑时，会在Windows系统中装恶意软件。在整个销售过程中，为电脑安装恶意软件可能跟任意一个销售环节都有关系，从出厂到运输，到出售。其中在一项针对Nitol僵尸网络的研究中，微软的专家在中国的不同城市购买了一些电脑，发现约有20%都在出厂时感染了恶意软件。当时Nitol的许多C2都指向了 3322.org这个域名，为阻止了Nitol僵尸网络的蔓延，微软接管了3322.org域名的请求，通过DNS重定向阻止了370万恶意软件向此网站的连接。

2017年4月包含了永恒之蓝（”EternalBlue”）MS-010漏洞的NSA武器库被匿名黑客公布，除了臭名昭著的”EternalBlue”+WannaCry勒索病毒之外，”EternalBlue”+Nitol病毒也狼狈为奸，快速传播。在腾讯电脑管家等国内安全软件的强力防护下，”EternalBlue”的威力不再，利用其他方式传播的Nitol病毒浮现视野，“快猴网”投毒软件包，该种水坑攻击方式的出现并不意外。

0×2 传播方式

“快猴网”游戏相关版块下的大量软件包被投毒，这些软件包被了置入lpk.dll恶意文件。从文件的置入时间判断，至少在2017年2月起就有少量的游戏包开始被投毒lpk.dll，大量的游戏包在10.11日14:52分被投毒或者再次投毒。

image001.jpg

image002.jpg

从外围信息来看，快猴网平均每天有10W+的用户访问，通过QQ群搜索“kuaihou”，可以发现有大量的游戏爱好者组建的相关游戏QQ群，群公告里均能看到“快猴网”的链接地址，不难理解“快猴网”在一些游戏爱好者中的“口碑地位”，也正是这些游戏爱好者会通过“快猴网”下载一些游戏或辅助工具。

image003.jpg

image004.png

一旦有受害者感染Nitol病毒，病毒还会尝试进行横向传播。

1. lpk.dll会备份感染至受害者磁盘的可能存在可执行程序的文件夹，以保证其能够更好启动执行；此时如果受害者计算机连接了U盘、移动硬盘等可移动媒介，lpk.dll还会尝试备份感染至这些可移动媒介。

2. 另外Nitol病毒一旦有机会执行还会通过弱密码扫描，进而利用ipc$和默认共享入侵远程电脑。

0×3 样本分析

1. lpk.dll

与其他Nitol木马生成器产生的lpk.dll一样，作为加载器lpk.dll将Nitol病毒程序放置在ID为102的RCData资源中，一旦lpk.dll有机会执行，除了进行备份感染传播外，重要的是lpk.dll会将释放ID为102位置的Nitol病毒程序并启动执行。

image005.jpg

2. Nitol病毒程序

样本加了upx压缩壳，，加壳后文件只有20KB 。

Nitol病毒接受并执行C2服务器发来的指令，可下载、更新、删除病毒木马、通过执行Cmd命令打开IE浏览器弹出网页，另外还可以通过C2远程指令进行syn flood、tcp flood、http flood三大DDOS攻击向量。同时Nitol可以通过IPC$共享进行横向传播。

1) 新感染Nitol的机器会检测自身是否运行在windows目录下，如果不在，则拷贝自身到系统目录，文件名为6个随机小写字符：

image006.jpg

2) Nitol拷贝到windows目录后，会通过创建一个名为“Mnopqr Tuvwxyab fafffs“的服务实现自启动。

image007.jpg

3) Nitol病毒通过弱口令字典尝试访问IPC$共享，以达到感染内网的目的。

image008.jpg

image009.jpg

4) 紧接着完成IPC$共享感染后，病毒程序就会创建线程，连接C2服务器，接受并执行来自于C2服务器的指令。

a) C2地址以密文形式存在于文件中,加密算法为base64+凯撒移位+异或

image010.jpg

b) 病毒会根据C2服务器的指令进行任意文件的下载更新、弹出IE网页，以对目标系统进行如下类型的DDOS攻击：

i. SYN Flood

ii. TCP Flood

iii. HTTP Flood

c) 远程指令如下：

image011.png

3. IOCs

1) “快猴网”部分被投毒的软件包。

image012.png

2) C2服务器

a) “快猴网“Nitol僵尸网络的C2。

image013.png

b) 其他部分Nitol僵尸网络C2地址（f3322是目前主要的C2服务器，域名与之前的3322域名有不可描述的相似性）。

image014.png

3) 快猴DDOS攻击情况

image015.png

4) Nitol病毒感染分布

image016.png

0×4 安全建议

对于此类病毒从源头传播到横向传播，电脑管家均可以进行有效的防御和查杀，建议广大网友保持良好的上网习惯，保持电脑管家的正常开启，不要因为使用外挂、辅助类工具而轻易关闭或退出电脑管家，使用移动媒介在他人设备拷贝文件时注意电脑管家U盘防护的提醒建议。

image017.png

专栏
腾讯电脑管家
腾讯电脑管家
203 篇文章
等级： 8级
关注
||
发表评论已有 1 条评论

fiysky (3级) 其实我叫fifysky 2017-11-14回复 1楼
ioc以后能文本格式吗。。方便我们加规则

亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
相关推荐
暗网非法数据交易是隐私信息安全的重大威胁
暗网非法数据交易是隐私信息安全的重大威胁
黑产从业者通过撞库攻击等方式获得的购物订单信息成为电信诈骗的关键数据，这些数据通过暗网平台交易。黑产从业者利用一些平台泄露的帐号密码等信息通过撞库手段，获取更多的用户信息。除了盗号、发广告、刷量（刷…

腾讯电脑管家2018-11-1511148
流氓软件Playbox安装目录一式两份刻意欺负非一线城市网民
流氓软件Playbox安装目录一式两份刻意欺负非一线城市网民
腾讯电脑管家发现一款名为Playbox的流氓软件频繁在用户电脑弹出广告，在安装卸载程序上动手脚，安装时会把软件分别写入两个目录。卸载时，会检测用户IP，如果不在北上广深这4个一线城市，Playbox就会卸载一份保留另…

腾讯电脑管家2018-11-1413857
“抓鸡狂魔”病毒团伙活动报告
“抓鸡狂魔”病毒团伙活动报告
“抓鸡狂魔” 病毒团伙是一个利用僵尸网络进行违法活动的地下团伙。通常通过鱼叉邮件、下载站传播远程控制木马（如Darkcomet，Njrat等）在全球范围内批量抓肉鸡。控制肉鸡后，收集用户隐私信息、机密文件或者发起DDoS…

腾讯电脑管家2018-11-0787385
披着羊皮的狼：双平台挖矿木马MServicesX分析
披着羊皮的狼：双平台挖矿木马MServicesX分析
这是一个双平台挖矿木马，该木马具有Windows和安卓双平台版本，在中毒电脑和手机上运行门罗币挖矿程序。其Windows版本MServicesX_FULL.exe使用有合法数字签名的文件借助游戏下载站传播，木马的安卓版本则伪装成Yout…

nitol

文章评论