中国香港地区DDoS-botnet态势分析

栏目: 编程工具 · 发布时间: 6年前

内容简介:近期阿里云态势感知发现一起中控位于中国香港地区的DDoS恶意攻击事件,通过追踪溯源发现,该DDoS木马是XorDDoS-botnet的新变种,中控域名为:jun6.f3322.net,中控服务器IP是位于中国香港的118.184.43.7。从2017年11月份开始在互联网上活动,持续至今。该木马通过爆破的方式、以及JAVA Struts漏洞来抓取网上肉鸡,然后通过添加自启动服务,和安装RootKit驱动的方式以达到常驻肉鸡电脑的目的。通过与中控服务器通信不断进行更新迭代,而且时刻准备着接受黑客的攻击指令,

近期阿里云态势感知发现一起中控位于中国香港地区的DDoS恶意攻击事件,通过追踪溯源发现,该DDoS木马是XorDDoS-botnet的新变种,中控域名为:jun6.f3322.net,中控服务器IP是位于中国香港的118.184.43.7。从2017年11月份开始在互联网上活动,持续至今。该木马通过爆破的方式、以及JAVA Struts漏洞来抓取网上肉鸡,然后通过添加自启动服务,和安装RootKit驱动的方式以达到常驻肉鸡电脑的目的。通过与中控服务器通信不断进行更新迭代,而且时刻准备着接受黑客的攻击指令,从而对国内外的许多用户进行DDoS攻击。

基于阿里云态势感知的大数据平台,我们对该DDoS-botnet组织进行了追踪和简要分析,发现该组织的中控主要集中在中国香港地区,且长期活跃,这引起了我们的高度关注。再次出发,我们对中国香港地区的DDoS-botnet做了简单研究,从发展趋势、木马类型、攻击类型、以及发起攻击的破坏力等等多维度进行数据分析,给出中国香港地区DDoS黑产的概貌。

XorDDoS-botnet案例的详细分析

XorDDoS-botnet样本分析

- 样本简介

 样本的基本信息如下:

中国香港地区DDoS-botnet态势分析

- 样本运行流程图

中国香港地区DDoS-botnet态势分析

- 样本核心代码分析

a. 该DDoS木马为了常驻肉鸡的电脑,它会在启动的开始就添加自启动服务。其代码如下:

中国香港地区DDoS-botnet态势分析

最后木马会在crontab中添加定时任务,保证被结束进程后还能运行起来。

中国香港地区DDoS-botnet态势分析

b. 该木马为了隐藏自己,还会携带rootkit驱动,如果该rootkit驱动程序存在,则会发送指令:0x9748712,隐藏进程的网络端口。其核心代码如下:

中国香港地区DDoS-botnet态势分析

其中隐藏的网络端口的核心代码如下:

中国香港地区DDoS-botnet态势分析

c. 木马启动后,会解密出中控域名,并自动连接中控服务器。其中解密中控域名的核心代码如下:

中国香港地区DDoS-botnet态势分析

我们通过动态调试,最终得到其解出来的中控域名为:jun6.f3322.net ,动态调试截图如下:

中国香港地区DDoS-botnet态势分析

d.木马在与中控通讯过程中,会将肉鸡的cpu信息、内存信息、带宽信息全部上传到中控服务器上,以便黑客控制进行DDoS攻击的强度。其核心代码如下:

中国香港地区DDoS-botnet态势分析

e. 该DDoS木马主要的攻击类型有两种:SYN攻击和DNS攻击。通过接受中控的命令,对攻击目标发起攻击。其核心代码如下:

中国香港地区DDoS-botnet态势分析

XorDDoS-botnet发展过程

阿里云态势感知发现该中控于2017年11月,其中控域名为:jun6.f3322.net。该黑客组织持续经营着该僵尸网络,不断迭代更新,持续至今。根据阿里云态势感知的大数据监控显示,该僵尸网络至少已经存活9个月之久,攻击的全球不同地域的用户数不计其数。下面是该XorDDoS-botnet的发展历程:

中国香港地区DDoS-botnet态势分析

该中控的肉鸡的变化趋势

冰冻三尺非一日之寒,阿里云态势感知从持续跟踪监控到的数据显示,该XorDDoS僵尸网络经过9个月左右的持续发展和更新迭代,肉鸡规模不断壮大。在2018年4月份的时候,其肉鸡规模达到了顶峰,其变化趋势图如下:

中国香港地区DDoS-botnet态势分析

该中控肉鸡攻击用户的国内外分布情况

该XorDDos僵尸网络所控制的肉鸡数量庞大,其攻击的受害用户地理分布也十分广,覆盖了国内的25个省区。其中中国香港地区的受害用户数排名第二,是重灾区。该XorDDoS僵尸网络控制肉鸡攻击受害用户的数量及分布详情如下图:

中国香港地区DDoS-botnet态势分析

阿里云态势感知通过对该XorDDoS僵尸网络肉鸡的相关数据进行大数据统计,总结出了该僵尸网络所攻击的全球用户的数据情况,其攻击的全球不同区域的用户的实时动态如下图所示:

中国香港地区DDoS-botnet态势分析

阿里云态势感知通过对该XorDDoS-botnet深入分析后,我们心中产生了一系列的疑问。为什么该DDoS-botnet的攻击能力如此强大?中国香港地区的DDoS黑色产业现状如何?该XorDDoS-botnet会不会只是其DDoS黑色产业的冰山一角?

中国香港地区DDoS-botnet的研究

目前现状概述

DDoS黑色产业由来已久,但是经久不衰,持续的威胁和迫害者网上的个人用户以及企业用户。这些年互联网技术的飞速发展,DDoS产业的随着时代的步伐不断进步,由以前的几个G的攻击流量增加到几百G,甚至高达T级别的攻击流量。尤其是反射攻击,比如今年的memcache反射攻击,将攻击威力放大近万倍,攻击流量轻易就可以达到T级别。不仅攻击流量增大很多,其中可参与DDoS攻击的设备类型也有增加,除了传统的 linux 和windows服务器,还增加了庞大IOT设备。

据阿里云态势感知的大数据分析平台统计,目前中国国内的DDoS类的肉鸡规模在百万级别,而我们这次调研的中国香港地区的DDoS肉鸡规模占据了总量的2%-3%左右。且香港地区的的DDoS-botnet的攻击类型也十分 的丰富,多达十几种。市面上目前比较流行的各DDoS木马家族在香港地区也有发现,发现XorDDoS木马家族  占比较高。 该地区肉鸡的DDoS攻击流量范围也十分的广,最小攻击流量在1G左右,最大攻击流量在500G至1T之间,对互联网上用户的危害非常之大。

中控数量统计

阿里云态势感知大数据监控显示,从2018年初至今,香港地区的DDoS僵尸网络的中控数量还在不断攀升,以下是目前在香港地区的DDoS-botnet中控数量的变化趋势:

中国香港地区DDoS-botnet态势分析

常用DDoS木马类型统计

目前香港地区发现的DDoS类木马的种族也十分丰富,有XorDDoS家族、Gates家族、Mayday家族等等,几乎涵盖了市面上所有流行的DDoS木马类家族。其中XorDDoS家族占比最高,这也恰恰验证了上文分析的XorDDoS-botnet的攻击能力为什么如此强大。下面是中国香港地区常用DDoS类木马家族的占比详情图:

中国香港地区DDoS-botnet态势分析

肉鸡数量统计

从阿里云态势感知近半年监控到的DDoS-botnet数据显示,香港地区的DDoS类肉鸡的数量起伏比较大,在2018.02时该地区的肉鸡数量达到小高峰。以下是近半年香港地区的DDoS类肉鸡的变化趋势图

中国香港地区DDoS-botnet态势分析

DDoS攻击类型统计

据阿里云态势感知的大数据分析统计,中国香港地区的DDoS攻击类型十分丰富,几乎涵盖了目前DDoS黑产里面的所有常用的,且攻击流量大的攻击类型,其中反射型的攻击方式有逐渐成为主流攻击方式的趋势。以下是香港地区的所有的攻击类型及其所占的比例的详情图:

中国香港地区DDoS-botnet态势分析

DDoS攻击破坏力统计

香港地区的DDoS类肉鸡虽然只占全国肉鸡总量的2%-3%,但是该地区肉鸡的DDoS攻击破坏力却不小。最小攻击流量在1G左右,其最大攻击流量在500G以上,其中攻击流量在100G以上的,约占总量的50%左右。以下是香港地区DDoS类肉鸡攻击流量范围占比图:

中国香港地区DDoS-botnet态势分析

总结及建议

DDoS攻击是网络安全攻防领域长盛不衰的话题。近些年随着各种技术的快速发展,DDoS黑色产业也在不断进步。尤其是反射性DDoS攻击的出现,为DDoS攻击产业提供了"核武器",将攻击流量放大近万倍,最高可达5万倍,其杀伤力可见一斑。透过对中国香港地区DDoS-botnet的研究,以及结合阿里云态势感知的大数据分析,我们可以宏观的看到中国香港地区DDoS产业的"繁华"。今年以来中控数量不断攀升,攻击木马类型日渐丰富,攻击流量更是突破T级别,百G攻击流量已占比达到50%左右。显而易见,中国香港地区的个人用户和企业用户正在遭受各种DDoS-botnet的控制和攻击,其个人用户和企业加强安全防范措施已迫在眉睫,尤其企业用户。他们需要强大的保护伞,来保护其各种业务的正常运行,不至于被DDoS攻击至瘫痪。阿里云不仅具备强大的计算能力、大数据处理能力,它还具备很高的安全性,拥护抗DDoS的专业防护产品,可以防护各种类型的DDoS攻击,是各大企业抗DDoS攻击的不错选择。

对于大中小企业而言,如何做好DDoS攻击的防范工作,以及提前应该部署哪些安全防御措施,阿里云安全专家建议如下:

1. 尽早发现系统存在的攻击漏洞,及时安装系统补丁程序,避免企业的电脑沦为黑客的肉鸡,被利用来对外进行DDoS攻击。

2. 经常检查物理设备,禁止设备上的不必要的服务和端口。建立边界安全界限,确保进出包都能受到正确的限制

3. 利用网络安全设备来加固企业的网络安全。配置好这些设备的安全规则,过滤掉伪造数据包。

4. 尽可能的将企业的服务采用分布式集群的方式部署。当企业服务器的一个节点被攻击而无法提供正常服务的时候,通过负载均衡调度,自动将企业服务切换到其他服务器节点上去,确保企业服务正常运转,避免被攻击后出现企业服务瘫痪的情况。

附录:

中国香港地区DDoS-botnet态势分析

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Programming Concurrency on the JVM

Programming Concurrency on the JVM

Venkat Subramaniam / The Pragmatic Bookshelf / 2011-6-1 / USD 35.00

Concurrency on the Java platform has evolved, from the synchronization model of JDK to software transactional memory (STM) and actor-based concurrency. This book is the first to show you all these con......一起来看看 《Programming Concurrency on the JVM》 这本书的介绍吧!

SHA 加密
SHA 加密

SHA 加密工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具