nitol
首页
文章
漏洞
SRC导航
内容精选
输入关键词搜索
APP 登录| 注册
【技术分享】EternalBlue与Trojan[DDoS]/Win32.Nitol.M的“狼狈为奸”
阅读量 49206 |
分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-08-25 16:20:04
https://p1.ssl.qhimg.com/t0187185b478dd0ae50.jpg
前言
2017年4月被匿名黑客“影子经纪人”公布了第二批NSA武器,其中就包含了"EternalBlue"——MS17-010漏洞,5月中旬该漏洞的自动化利用工具如雨后春笋般在地下黑产出现并迅速传播,目前为止安天捕风监控捕获到的"EternalBlue"自动化利用工具已经已有多套(见图1-1 工具集合),这也证实国外某黑客“NSA工具公布意味着黑客平民化开始”的警告言论。
http://p6.qhimg.com/t01d4aa87beccf5386f.png
图1-1 工具集合
"EternalBlue"自动化工具的出现伊始就已经实现漏洞与各类型病毒结合。从早期监控捕获到的"EternalBlue"与Gh0st远控的为虎作伥实现RAT(Remote Accass Trojan)自动化种植感染,到现在的"EternalBlue"与Nitol.M的狼狈为奸实现DDoS botnet快速自动化拓展“肉鸡”,都警示着:互联网安全形势越发严峻,为互联网安全保驾护航更是任重而道远。
基本信息
http://p0.qhimg.com/t016a46cf14f3e3af90.png
表1-1 样本基本信息
传播方式
2017-08-14 08:41:54,安天-捕风监控到一则木马感染事件(见图3-1 监控捕获数据),并自动获取相关hfs(HTTP Files Server)目录下的样本数据。发现hfs里面还存放有"EternalBlue"自动化利用工具(见图3-2 hfs数据),经过IDA分析x86.dll样本得知利用该工具感染的病毒正是Trojan[DDoS]/Win32.Nitol.M被控端木马(见图3-3 木马下载url地址),即http://***.***.166.83:5999/hw1.exe的Trojan[DDoS]/Win32.Nitol.M样本可以通过该工具利用MS17-010漏洞进行自动化“肉鸡”拓展。
http://p7.qhimg.com/t01841c87ef0d8c0372.png
图3-1 监控捕获数据
http://p8.qhimg.com/t011d1162bfed484967.png
图3-2 hfs数据
http://p4.qhimg.com/t01f3ea64288c13f4ab.png
图3-3 木马下载url地址
样本详细分析
因为DDoS botnet的Nitol家族源码早已开源化,所以互联网上出现很多根据源码改进的变种版本,Trojan[DDoS]/Win32.Nitol.M就是其中之一,主要实现DDoS攻击类型有syn flood、udp flood、icmp flood、tcp flood、dns flood、cc flood。
1)样本备份与创建服务
样本运行会通过检查服务名称".Net CLR"(该服务名称是Nitol家族默认服务名称)存在与否来验证样本是否初次运行。见图4-1 检查服务名称:
http://p8.qhimg.com/t01091a986ff9372544.png
图4-1 检查服务名称
2)如果服务名不存在,则进行样本备份和创建服务实现样本自启动而长期驻留受害系统。
见图4-2 样本备份及自启动设置:
http://p4.qhimg.com/t01942ebe4daa280495.png
图4-2 样本备份及自启动设置
3)配置解密获取C2并创建连接。
在配置解密上Trojan[DDoS]/Win32.Nitol.M同样继承Nitol家族系列的风格,使用base64 + 凯撒位移 + 异或三重算法进行加密。
见图4-3 C2配置解密:
http://p0.qhimg.com/t01d6505cdc80b24c16.png
图4-3 C2配置解密
4)获取系统配置信息。
获取系统版本和CPU配置及内存信息作为向C2发送的首包内容,并实时等待接收C2远程指令,见图4-4 bot与C2通讯交互:
http://p6.qhimg.com/t01df86facf89d295fe.png
图4-4 bot与C2通讯交互
5)解析并执行C2的远程指令。
当接收到C2的远程指令是首先对指令类型进行识别鉴定,然后分类执行(见图4-5 识别鉴定指令类型)。
http://p7.qhimg.com/t01bb6834887d02a705.png
图4-5 识别鉴定指令类型
远程指令类型主要包含有DDoS Attack、Stop Attack、Download Files、CMD Shell、Delete Service,见表4-1指令类型数据表:
http://p3.qhimg.com/t013cac85af8f2f6a4e.png
表4-1 指令类型数据表
6)DDoS攻击指令协议解析。
该变种的DDoS Attack攻击有syn flood、udp flood、icmp flood、tcp flood、dns flood、cc flood 6种攻击类型,见图4-6 DDoS攻击类型。攻击类型协议整理见表4-2 攻击类型协议表:
http://p6.qhimg.com/t01f3ff06cb38a49e49.png
图4-6 DDoS攻击类型
http://p6.qhimg.com/t0133a06ffdc7f103f1.png
表4-2攻击类型协议表
攻击情报
结合7月21日捕获到的同家族版本进行监控获取的攻击情报中得知,近一个月中共发起579次攻击,185起攻击事件,主要使用攻击类型为syn flood占57.3%,cc flood(http flood)占28.6%,icmp flood占11.9%,tcp flood占2.2%,表4-3 受害者Top30列出被攻击次数top30的部分攻击情报,攻击情报概览见图4-7 Trojan[DDoS]/Win32.Nitol.M攻击情报概览。
表4-3 受害者Top30
http://p0.qhimg.com/t01d65a6ac2ba50d2a6.png
http://p5.qhimg.com/t012089d5ed572fe8fc.png
http://p6.qhimg.com/t014f031ea196e7a51e.png
https://p3.ssl.qhimg.com/t01a034d68b6fdc5333.png
图4-7 Trojan[DDoS]/Win32.Nitol.M攻击情报概览
总结
因为独木难支,所以任何一个botnet家族都不会对互联网形成足够大的威胁,但是如果结合漏洞的自动化利用工具迅速拓展botnet的“肉鸡”量,再加上多个botnet组团攻击将会对互联网造成极大的危害。从安天-捕风监控到的历次高流量攻击事件都是多个botnet家族联合发起攻击。据了解,目前网上流传的“EternalBlue”自动化漏洞利用工具,通过IP网段自动化批量扫描每天仍旧能入侵大量设备并植入病毒,也就侧面说明还有很多设备尚未升级系统及修补漏洞补丁。因此,安天作为国内网络安全尽责的守护者之一,提醒广大同行警惕新型botnet的兴起,同时也提醒广大互联网用户安全、健康上网,安装杀毒、防毒软件(参考1 安天智甲工具)并及时升级系统和修补设备漏洞!
参考资料
http://www.antiy.com/tools.html
MD5:c7d0827b6224b86f0a90fa42a8d39edd
本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/86701
安全客 - 有思想的安全新媒体
安全知识
botnet-放牛娃 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
ETW注册表监控windows内核实现原理
2019-02-21 14:30:47
WordPress 5.0.0远程代码执行漏洞分析
2019-02-21 11:30:53
Lucky双平台勒索者解密分析
2019-02-21 10:45:27
off by null漏洞getshell示例
2019-02-20 16:59:40
|发表评论
发表你的评论吧
昵称
神奇小子
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
botnet-放牛娃
这个人太懒了,签名都懒得写一个
文章
2
粉丝
0
TA的文章
【技术分享】EternalBlue与Trojan[DDoS]/Win32.Nitol.M的“狼狈为奸”
2017-08-25 16:20:04
【木马分析】一款国产Linux DDoS僵尸网络家族Jenki分析
2017-08-04 14:22:45
输入关键字搜索内容
相关文章
360 | 数字货币钱包APP安全威胁概况
以太坊智能合约安全入门了解一下(下)
对恶意勒索软件Samsam多个变种的深入分析
360 | 数字货币钱包安全白皮书
Json Web Token历险记
揪出底层的幽灵:深挖寄生灵Ⅱ
简单五步教你如何绕过安全狗
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading...0daybank
文章评论