就一起私服

就一起私服
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
一起游戏私服同行发起的DDoS攻击：样本分析与溯源 腾讯电脑管家认证厂商2017-09-11共418242人围观 ，发现 6 个不明物体 网络安全
8月中旬，腾讯电脑管家反病毒实验室发现023155.cn(222.186.129.87)正遭遇大量DDoS攻击。安全人员通过溯源，捕获到上百个DDoS攻击样本，并第一时间实现全部查杀。有趣的是，发起攻击者和被攻击者都是游戏私服网站，攻击原因未知。下文详细分析这些攻击样本如何发起DDoS攻击，并溯源其样本源头和传播渠道。

一、 样本分析
母体：6f41f5483da69dd6faf19a58c57d7491

子体：f173f692970a20fa8ca49423d6ad8e89

该起DDoS攻击的样本是通过一个下载者（母体）下载来的（C&C :ddos.m0427.com-> 103.40.102.87），这里下载的是W4.7.exe样本。经分析发现，这个样本仅在收到C&C指令后发起DDoS攻击，其它时间一直处于“休眠状态”，并无其它远控行为。

一起游戏私服同行发起的DDoS攻击：样本分析与溯源

1. 母体分析
1) 母体是一个下载者，拷贝自身到系统System32目录下，然后调用CreateService创建服务，实现开机自启动。

一起游戏私服同行发起的DDoS攻击：样本分析与溯源

2) 访问http://103.40.102.87/W4.7.exe下载干活的远控木马，并CreateProcess拉起来。每次都可通过云配置下载不同的干活程序。

一起游戏私服同行发起的DDoS攻击：样本分析与溯源

2. 子体分析
1) 提升系统权限和关闭UAC通知

一起游戏私服同行发起的DDoS攻击：样本分析与溯源

一起游戏私服同行发起的DDoS攻击：样本分析与溯源

2) 调用DnsFlushResolverCache清除DNS缓存，保证解析到最新IP。

3) 在自身后面填充0x2E，使其大小达到三十多MB，以对抗杀软收集样本云。拷贝自身到C:\WINDOWS\WindowsUpdata\ohumykb.exe，文件名是随机的。并且修改注册表创建开机自启动。

一起游戏私服同行发起的DDoS攻击：样本分析与溯源

4) 调用CreateMutexA创建互斥量，保证只有一个实例运行。

5) 连接C&C 服务器daghfgdgab.lvdp.net ->103.40.102.87。

一起游戏私服同行发起的DDoS攻击：样本分析与溯源

6) 调用GetVersionExA、GlobalMemoryStatus得到系统版本信息、内在信息和CPU信息。调用send，并通过TCP协议把数据传给C&C。

一起游戏私服同行发起的DDoS攻击：样本分析与溯源

7) C&C返回的指令说明如下，完成一次DDoS攻击的指令顺序：3 -> 1->4 ->2。

指令 说明
1 读 Config.ini 设置攻击参数
2 停止退出
3 写 Config.ini 配置文件，包括攻击目标域名信息
4 发起 DDoS 攻击
8) 攻击时，构造http包信息，模拟浏览器访问，避免DDoS攻击包被过滤掉。

一起游戏私服同行发起的DDoS攻击：样本分析与溯源

二、 溯源
从daghfgdgab.lvdp.net域名开始溯源，发现很多私服登陆器，实际上是会释放远控木马，这些私服登陆器通过SNS渠道、游戏外挂网站传播。分析发现，远控木马大部分是gh0st系列和灰鸽子系列，单个样本广度很低，但是样本量很多，粗略估算有几百个远控木马，从域名IP和代码特征，可以确定是同一团伙搞的。

有趣的是被攻击的网站也是一家私服网站，攻击原因不为人知。

1. DDoS攻击样本
C&C:103.40.102.87

6f41f5483da69dd6faf19a58c57d7491

38e451a4adc01f48ba1136d381966954

6355310f2c804fae2b0b97ed4dcd73ff

cd65b0c4a009ef69535199f62dc09e03

0e7ae33f69aceb943b799dd9b1faf774

38e451a4adc01f48ba1136d381966954

0e7ae33f69aceb943b799dd9b1faf774

……

2. gh0st系列远控
C&C : 221.229.160.197,123.56.41.200

8c19d83ff359a1b77cb06939c2e5f0cb NetSyst96.dll

aa3ad0036b746783b6b0d029f1d3261a 2018登录器.exe 远控木马

d4f3287e5e068c43aaec29dbac583e97 春暖花开–登录器.exe

ccf4f967a0f025ea1da1bfa283760cf1 世外桃源–登录器

411087ce808065022c30610a9bdb656e 问道变态服.exe

……

3. 灰鸽子系列
45a89c140eca4ac38cb8986cfcf341ec

02f0849026bdef8ce8304aa640e73663

966F65D0FA166B3459755AE92690C652

……

一起游戏私服同行发起的DDoS攻击：样本分析与溯源

4. 发起DDoS攻击的游戏私服网站
一起游戏私服同行发起的DDoS攻击：样本分析与溯源

5. 被DDoS攻击的游戏私服网站
一起游戏私服同行发起的DDoS攻击：样本分析与溯源

*本文作者：腾讯电脑管家，转载请注明来自 FreeBuf.COM

腾讯电脑管家
腾讯电脑管家
142 篇文章
等级： 8级
||
上一篇：如何使用RDP跳过网络隔离？下一篇：利用Redis未授权访问漏洞的挖矿病毒阴魂不散
发表评论已有 6 条评论

swift 2017-09-11回复 1楼
这不是我《DevilMayCry4》吗

亮了(0)

y11en 2017-09-11回复 2楼
What’ the 源？

:p

亮了(4)

hisec 2017-09-12回复
@ y11en 源回家了

亮了(0)

sogood 2017-09-11回复 3楼
源呢

亮了(0)

少女之友 (1级) 2017-09-11回复 4楼
hfs 2.3b亮了

他会哭的

亮了(2)

AdlerI (5级) 这家伙太勤快了，居然写个人描述！ 2017-09-11回复 5楼
私服怼私服，官方可开心了。

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
腾讯电脑管家
腾讯电脑管家认证厂商

腾讯电脑管家官方账号

142
文章数
1
评论数
最近文章
KoiMiner挖矿木马变种入侵，超5000台SQL Server服务器被控制
2018.11.18

暗网非法数据交易是隐私信息安全的重大威胁
2018.11.15

流氓软件Playbox安装目录一式两份 刻意欺负非一线城市网民
2018.11.14

浏览更多
相关阅读
由XSS漏洞引发的僵尸网络DDos攻击风暴金山云安珀实验室千里追踪75万台“肉鸡”控制源黑客组织匿名者（Anonymous）再作祟，DDoS攻击希腊银行网站金山云安珀实验室：四大维度无死角对抗网络黑产现实版黑客军团：ProtonMail遭遇DDOS攻击
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank