报告初稿完成时间:2016

年1月6日首次公开发布时间:2016年1月13日本版本更新时间:2016年1月13日盗用数字签名DDOS样本分析安天追影小组目录1概述.
32事件线索.
错误!
未定义书签.
3样本分析.
33.
1样本标签33.
2样本运行流程43.
3样本详细分析54网络架构分析104.
1网络基础设施105危害影响.
135.
1受害者网站136黑客追踪.
146.
1攻击者推理146.
2获利分析157总结.
15附录二:关于安天.
18附录三:文档更新日志19盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第3页1概述2016年1月,安天追影小组通过安天态势感知系统发现了一款带有过期签名的DDoS恶意程序,该样本盗用了韩国NHN公司美国分公司的数字签名,NHN旗下包括韩国本土最大的搜索引擎网站,美国分公司主要从事网络游戏开发,被盗用的数字签名已经过期,恶意代码添加过期的数字签名主要是为了躲避杀软检测.
该数字签名被多个恶意样本使用,应该已经在地下市场流传.
该DDoS样本包含多种DDoS攻击方式,并主要针对国内的在线销售减肥药、在线赌博、电子交易平台进行攻击.
攻击者对灰色或非法网站进行DDoS攻击的目的可能是敲诈或者同业竞争.
通过追影设备分析发现该病毒为DDOS恶意样本,病毒样本运行后释放rasmedia.
dll到system32目录下,安装WinHelp32服务,运行CMD自删除.
并创建两个线程分别防止服务自身被删除和进行DDoS攻击.
攻击者使用fabao.
309420.
com:7002作为C2与DDoS病毒样本进行通信并分发攻击任务.
短时间内已捕获到对多个网站被DDoS攻击.
图签名样本DDoS攻击2样本分析2.
1样本标签探海威胁检测系统检测都hxxp://61.
147.
107.
91:8082/get.
exe的恶意代码传输事件,经过分析该样本的基本信息如下:病毒名称Trojan[Backdoor]/Win32.
DDOS原始文件名get.
exeMD5b8f83b1e12ac61d8045a44561c5b7863处理器架构X86-32文件大小327.
19KB文件格式BinExecute/Microsoft.
EXE[:X86]盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第4页时间戳2015-10-2814:07:22数字签名NO加壳类型无编译语言Compiler/Microsoft.
VISUAL_C[:v6.
0]VT首次上传时间2015-12-06VT检测结果47/552.
2样本运行流程病毒样本运行后释放rasmedia.
dll文件到system32目录下,安装WinHelp32服务,运行CMD自删除.
服务程序反弹连接fabao.
309420.
com:7002,上报受害者机器信息,并创建两个线程分别防止服务自身被删除和等待服务器攻击指令,进行DDoS攻击.
图1样本运行流程盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第5页2.
3样本详细分析该样本包含NHNUSAInc.
公司的数字签名信息,该数字签名有效期是2009/11/3到2011/10/29,已经过期.
样本get.
exe运行后会释放后门文件rasmedia.
dll到system32目录下,每次释放,此文件末尾会被随机填充一些数据形成不同的文件hash,在开启了UAC的系统上,释放文件到system32目录会失败,样本会动态加载rasmedia.
dll,调用其导出的Install函数使得rasmedia.
dll可以以服务的方式启动.
最后样本get.
exe会调用cmd.
exe进行自删除.
服务的属性信息以及对应的dll路径如下:在WinHelp32服务启动后,对应的后门dll文件就被加载运行了,首先,dll会动态解密要连接的域名端口:fabao.
309420.
com:7002以及其他一些信息,方便后续使用,如下:盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第6页此后rasmedia.
dll会创建两个主要的线程,一个线程是为了防止自身被删除,另一个就是联网获取远端指令,然后执行相关的操作,例如DDoS.
为了防止被删除,其首先会读取自身数据存放在缓冲区里,然后循环判断自身文件是否存在,如果不存在就把缓冲区里的内容重新写入文件,主要代码如下:另一个线程首先会收集本地主机的计算机名、系统版本、磁盘大小等信息,然后把这些收集到的信息加密后,发送到远控端,其加密算法如下:voidcall(BYTE*buf,intlen,intres){inti=0;BYTEtmp=res&0xff;tmp=tmp%0xfe;tmp++;while(len){buf[i]=tmp+tmp^buf[i];i++;len--;}}盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第7页而此加密函数的调用方式是以call(buf,0x60,0x0c)这种形式出现,其中的buf里存放的就是收集到的一些信息,0x60是信息长度然后,dll会循环从fabao.
309420.
com:7002上获取数据,在解密接收的数据后,会再次对数据进行格式解析,其解密算法如下:voidcall2(BYTE*buf,intlen,intres){inti=0;BYTEtmp=res&0xff;tmp=tmp%0xfe;tmp++;while(len){buf[i]=(buf[i]-tmp)^tmp;i++;len--;}}通过观察上面的两个函数可以看出,这里的加密函数和解密函数正好相对应.

通信数据协议为:控制指令(4字节)+数据大小(4字节)+数据然后通过匹配控制码,来执行相关的操作,分析发现,这里经常接收到的控制码有0x31000002和0x32000002,这两个控制指令都跟DDOS相关,当控制码为0x31000002时,解密后的数据如下:可以看到,这种情形下获取的数据是一个IP地址,然后dll会创建很多线程,每个线程都循环对获取到的IP进行DDOS攻击,每次发送的数据包大小为0x1000,而数据内容是随机生成的,代码如下:当控制码为0x32000002时,解密后的数据如下:盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第8页在这里获取到的数据是一个带参数的网址,其内容如下:然后也会创建很多线程循环对这个网址发起大量GET请求,造成DDoS,其发送的GET请求的数据如下:如上图所示,其GET请求的数据的组成方式是以事先准备好的模版来填充的,其对应的模版为:当然,在dll里还有其他的模版,总数多达十种,下面列出其中的几种:其一:其二:其三:盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第9页其四:其五:其六:其七:除了上面提及的DDOS功能外,此dll文件还有其他远控类型的功能,在通过分析后发现,此DLL后门中的控制指令多达20种,其主要指令如下:控制码功能0x37000002DDoS0x41000001DDoS0x37000001DDoS0x32000004DDoS盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第10页3网络架构分析3.
1网络基础设施黑客控制网络基础,由样本分析可知,攻击者使用fabao.
309420.
com:7002指向的61.
147.
107.
91作为服务器进行分发DDOS攻击任务,同时该IP的另外端口作为木马下载服务器.
该域名并未部署web网站.
由ping的TTL返回值为118,可猜测其操作系统为WinNT/2000/2003/XP.
同时该域名在不同时间段指向了多个威胁IP.
该黑客组织从2013年即开始活动,其IP地址均位于江苏省扬州市电信.
0x33000001DDoS0x36000001DDoS0x32000002DDoS0x31000005DDoS0x32000001DDoS0x31000003DDoS0x30000001Donothing0x31000001DDoS0x31000002DDoS0x20000020修改HOSTS0x20000003关机0x20000004远程下载执行0x20000005打开指定程序0x20000006打开指定程序0x20000000卸载自身0x20000002重启域名IP端口操作系统最早时间作用描述fabao.
309420.
com:700261.
147.
107.
91:7002Windows20032015-10-12C2控制服务器61.
147.
107.
91:8082Windows20032015-10-12放马服务器fabao.
309420.
com:700261.
147.
70.
142:7002Windows20032015-11-19C2控制服务器fabao.
309420.
com:700261.
147.
103.
178:70022015-06-18C2控制服务器fabao.
309420.
com:700261.
147.
103.
117:70022013-06-03C2控制服务器fabao.
309420.
com:700261.
147.
103.
99:70022013-04-17C2控制服务器盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第11页使用X-Scan扫描目标服务器,发现目标开放了如下端口:135、139、21、22、3389其中21端口经检测,运行的为Serv-UFTPServerv6.
4尝试连接登陆,发现存在root用户:使用Serv-U的默认管理员:LocalAdministrator,默认密码:#l@$ak#.
lk;0@P,尝试登陆,发现默认管理员存在,但是默认密码被更改.
盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第12页注意到目标服务器开放了22端口和SSH服务,尝试连接得到如下提示,怀疑可能是限制了登陆IP.
目标服务器还开放了3389端口,使用系统自带的远程桌面连接连接至目标服务器,可以看到目标服务器系统为WindowsServer2003,符合前边的推测.
目前尚未发现存在弱口令等.
与控制端通信的其它样本84747986208f11f326a890451988064f则采用了伪造腾讯数字签名信息来逃避检测.
盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第13页4危害影响4.
1受害者网站根据监测发现,被攻击目标列表如下:控制码功能http://wapkk.
xford.
cn/减肥药网站http://le.
bjwcyls.
com/新年支付http://pqt.
zoosnet.
net网页商务通http://www.
dfr4fs.
com棋牌游戏http://www.
sbuluo.
com香水售卖网站http://www.
a0686.
com娱乐场网站http://mmmoffice.
com/http://xs.
igreenport.
com.
cn/http://www.
10230000.
cn/一件代发http://www.
qiuyun.
sh.
cn/http://flm.
flmapp.
com/http://xq2015.
228.
zj.
cn/http://vip6.
airuis.
net/http://wapkf.
huxiwa.
cn/http://wap.
1008tuan.
com/http://www.
shop3m.
cn/http://flm.
alibag.
cn/http://le1s.
xndnhc.
com/盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第14页主要攻击目标包括网络销售减肥产品、娱乐城以及电子商务平台,属于网络上的灰色相关产业,这些产业竞争比较激励.
5黑客追踪5.
1攻击者推理通过追影设备提取C2可以锁定以下域名:fabao.
309420.
com,查询whois信息可以得到如下的注册信息:http://www.
gzmfl.
cnhttp://willittt.
aliapp.
comhttp://183.
131.
85.
140:888http://guanfang123.
aliapp.
comhttp://wap.
pichia.
cnhttp://mjgw.
weizhangchaxun.
com.
cnhttp://aaa8.
shengmingjiguang.
cnhttp://flm.
flm315.
com网赚http://vip6.
zyhlwlc.
com盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第15页根据域名注册的英文信息,域名所有者是在广西省南宁市大学路58号申请注册的该域名,可能使用过号码为0771-3268887的固定电话,经查该号码地址为广西南宁.
通过输入域名反查,我们获取到了注册域名的163邮箱.
通过这个邮箱,搜索申请的域名:发现该邮箱仅仅申请了309420.
com这一个域名.
5.
2获利分析攻击的目标主要是灰色网站,该领域存在激烈的同行商业竞争,如果有新加入这个销售减肥药品在线销售网站将会受到之前的该领域的共同攻击.
6总结该DDoS攻击组织利用窃取的企业过期签名以及伪造数字签名来逃避杀软检测,对可信体系的信任链条是一种冲击,目前杀毒软件厂商也都增加了对数字签名的检验,从粗糙的检验数字签名是否存在到对数字签名的期限,数字签名伪造等进行检测.
盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第16页7相关信息相关MD5列表0b149f4ea7618a1d009409e889541b8982d25d47c82246aed94803159714176384747986208f11f326a890451988064f801905dd2ff5b92355ba4c21a9ec1477b8f83b1e12ac61d8045a44561c5b78637afeb59f339d3af22b8b1f51b8e01f154f6f7e8d6400fad699793449834153c1087e5fbde0dec2d19eafbf749433792c2ec8c7c9a3b051e2b44d74ebe4f53aa4429b2d49ebf58634df7c6d2def01b406685157a415112954f94a2ea7cfd796f4b7d9c12c12a86fcea50371a0fe5456419d390bd6a71eb4e2a0d3ba8d1fead3c6572b568cfd3ce67b81ed980cfa6520b084bb036c3ee8681dec8e98c6356190b7盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第17页附录一:参考资料[1]NHNUSAhttp://www.
nhnentusa.
com/usa/index.
nhn盗用数字签名DDOS样本分析安天版权所有,欢迎无损转载第18页附录二:关于安天安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商.
安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案.
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一.
安天移动检测引擎获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴.