中国香港地区DDoS-botnet态势分析

栏目: 编程工具 · 发布时间: 6年前

内容简介:近期阿里云态势感知发现一起中控位于中国香港地区的DDoS恶意攻击事件,通过追踪溯源发现,该DDoS木马是XorDDoS-botnet的新变种,中控域名为:jun6.f3322.net,中控服务器IP是位于中国香港的118.184.43.7。从2017年11月份开始在互联网上活动,持续至今。该木马通过爆破的方式、以及JAVA Struts漏洞来抓取网上肉鸡,然后通过添加自启动服务,和安装RootKit驱动的方式以达到常驻肉鸡电脑的目的。通过与中控服务器通信不断进行更新迭代,而且时刻准备着接受黑客的攻击指令,

近期阿里云态势感知发现一起中控位于中国香港地区的DDoS恶意攻击事件,通过追踪溯源发现,该DDoS木马是XorDDoS-botnet的新变种,中控域名为:jun6.f3322.net,中控服务器IP是位于中国香港的118.184.43.7。从2017年11月份开始在互联网上活动,持续至今。该木马通过爆破的方式、以及JAVA Struts漏洞来抓取网上肉鸡,然后通过添加自启动服务,和安装RootKit驱动的方式以达到常驻肉鸡电脑的目的。通过与中控服务器通信不断进行更新迭代,而且时刻准备着接受黑客的攻击指令,从而对国内外的许多用户进行DDoS攻击。

基于阿里云态势感知的大数据平台,我们对该DDoS-botnet组织进行了追踪和简要分析,发现该组织的中控主要集中在中国香港地区,且长期活跃,这引起了我们的高度关注。再次出发,我们对中国香港地区的DDoS-botnet做了简单研究,从发展趋势、木马类型、攻击类型、以及发起攻击的破坏力等等多维度进行数据分析,给出中国香港地区DDoS黑产的概貌。

XorDDoS-botnet案例的详细分析

XorDDoS-botnet样本分析

- 样本简介

 样本的基本信息如下:

中国香港地区DDoS-botnet态势分析

- 样本运行流程图

中国香港地区DDoS-botnet态势分析

- 样本核心代码分析

a. 该DDoS木马为了常驻肉鸡的电脑,它会在启动的开始就添加自启动服务。其代码如下:

中国香港地区DDoS-botnet态势分析

最后木马会在crontab中添加定时任务,保证被结束进程后还能运行起来。

中国香港地区DDoS-botnet态势分析

b. 该木马为了隐藏自己,还会携带rootkit驱动,如果该rootkit驱动程序存在,则会发送指令:0x9748712,隐藏进程的网络端口。其核心代码如下:

中国香港地区DDoS-botnet态势分析

其中隐藏的网络端口的核心代码如下:

中国香港地区DDoS-botnet态势分析

c. 木马启动后,会解密出中控域名,并自动连接中控服务器。其中解密中控域名的核心代码如下:

中国香港地区DDoS-botnet态势分析

我们通过动态调试,最终得到其解出来的中控域名为:jun6.f3322.net ,动态调试截图如下:

中国香港地区DDoS-botnet态势分析

d.木马在与中控通讯过程中,会将肉鸡的cpu信息、内存信息、带宽信息全部上传到中控服务器上,以便黑客控制进行DDoS攻击的强度。其核心代码如下:

中国香港地区DDoS-botnet态势分析

e. 该DDoS木马主要的攻击类型有两种:SYN攻击和DNS攻击。通过接受中控的命令,对攻击目标发起攻击。其核心代码如下:

中国香港地区DDoS-botnet态势分析

XorDDoS-botnet发展过程

阿里云态势感知发现该中控于2017年11月,其中控域名为:jun6.f3322.net。该黑客组织持续经营着该僵尸网络,不断迭代更新,持续至今。根据阿里云态势感知的大数据监控显示,该僵尸网络至少已经存活9个月之久,攻击的全球不同地域的用户数不计其数。下面是该XorDDoS-botnet的发展历程:

中国香港地区DDoS-botnet态势分析

该中控的肉鸡的变化趋势

冰冻三尺非一日之寒,阿里云态势感知从持续跟踪监控到的数据显示,该XorDDoS僵尸网络经过9个月左右的持续发展和更新迭代,肉鸡规模不断壮大。在2018年4月份的时候,其肉鸡规模达到了顶峰,其变化趋势图如下:

中国香港地区DDoS-botnet态势分析

该中控肉鸡攻击用户的国内外分布情况

该XorDDos僵尸网络所控制的肉鸡数量庞大,其攻击的受害用户地理分布也十分广,覆盖了国内的25个省区。其中中国香港地区的受害用户数排名第二,是重灾区。该XorDDoS僵尸网络控制肉鸡攻击受害用户的数量及分布详情如下图:

中国香港地区DDoS-botnet态势分析

阿里云态势感知通过对该XorDDoS僵尸网络肉鸡的相关数据进行大数据统计,总结出了该僵尸网络所攻击的全球用户的数据情况,其攻击的全球不同区域的用户的实时动态如下图所示:

中国香港地区DDoS-botnet态势分析

阿里云态势感知通过对该XorDDoS-botnet深入分析后,我们心中产生了一系列的疑问。为什么该DDoS-botnet的攻击能力如此强大?中国香港地区的DDoS黑色产业现状如何?该XorDDoS-botnet会不会只是其DDoS黑色产业的冰山一角?

中国香港地区DDoS-botnet的研究

目前现状概述

DDoS黑色产业由来已久,但是经久不衰,持续的威胁和迫害者网上的个人用户以及企业用户。这些年互联网技术的飞速发展,DDoS产业的随着时代的步伐不断进步,由以前的几个G的攻击流量增加到几百G,甚至高达T级别的攻击流量。尤其是反射攻击,比如今年的memcache反射攻击,将攻击威力放大近万倍,攻击流量轻易就可以达到T级别。不仅攻击流量增大很多,其中可参与DDoS攻击的设备类型也有增加,除了传统的 linux 和windows服务器,还增加了庞大IOT设备。

据阿里云态势感知的大数据分析平台统计,目前中国国内的DDoS类的肉鸡规模在百万级别,而我们这次调研的中国香港地区的DDoS肉鸡规模占据了总量的2%-3%左右。且香港地区的的DDoS-botnet的攻击类型也十分 的丰富,多达十几种。市面上目前比较流行的各DDoS木马家族在香港地区也有发现,发现XorDDoS木马家族  占比较高。 该地区肉鸡的DDoS攻击流量范围也十分的广,最小攻击流量在1G左右,最大攻击流量在500G至1T之间,对互联网上用户的危害非常之大。

中控数量统计

阿里云态势感知大数据监控显示,从2018年初至今,香港地区的DDoS僵尸网络的中控数量还在不断攀升,以下是目前在香港地区的DDoS-botnet中控数量的变化趋势:

中国香港地区DDoS-botnet态势分析

常用DDoS木马类型统计

目前香港地区发现的DDoS类木马的种族也十分丰富,有XorDDoS家族、Gates家族、Mayday家族等等,几乎涵盖了市面上所有流行的DDoS木马类家族。其中XorDDoS家族占比最高,这也恰恰验证了上文分析的XorDDoS-botnet的攻击能力为什么如此强大。下面是中国香港地区常用DDoS类木马家族的占比详情图:

中国香港地区DDoS-botnet态势分析

肉鸡数量统计

从阿里云态势感知近半年监控到的DDoS-botnet数据显示,香港地区的DDoS类肉鸡的数量起伏比较大,在2018.02时该地区的肉鸡数量达到小高峰。以下是近半年香港地区的DDoS类肉鸡的变化趋势图

中国香港地区DDoS-botnet态势分析

DDoS攻击类型统计

据阿里云态势感知的大数据分析统计,中国香港地区的DDoS攻击类型十分丰富,几乎涵盖了目前DDoS黑产里面的所有常用的,且攻击流量大的攻击类型,其中反射型的攻击方式有逐渐成为主流攻击方式的趋势。以下是香港地区的所有的攻击类型及其所占的比例的详情图:

中国香港地区DDoS-botnet态势分析

DDoS攻击破坏力统计

香港地区的DDoS类肉鸡虽然只占全国肉鸡总量的2%-3%,但是该地区肉鸡的DDoS攻击破坏力却不小。最小攻击流量在1G左右,其最大攻击流量在500G以上,其中攻击流量在100G以上的,约占总量的50%左右。以下是香港地区DDoS类肉鸡攻击流量范围占比图:

中国香港地区DDoS-botnet态势分析

总结及建议

DDoS攻击是网络安全攻防领域长盛不衰的话题。近些年随着各种技术的快速发展,DDoS黑色产业也在不断进步。尤其是反射性DDoS攻击的出现,为DDoS攻击产业提供了"核武器",将攻击流量放大近万倍,最高可达5万倍,其杀伤力可见一斑。透过对中国香港地区DDoS-botnet的研究,以及结合阿里云态势感知的大数据分析,我们可以宏观的看到中国香港地区DDoS产业的"繁华"。今年以来中控数量不断攀升,攻击木马类型日渐丰富,攻击流量更是突破T级别,百G攻击流量已占比达到50%左右。显而易见,中国香港地区的个人用户和企业用户正在遭受各种DDoS-botnet的控制和攻击,其个人用户和企业加强安全防范措施已迫在眉睫,尤其企业用户。他们需要强大的保护伞,来保护其各种业务的正常运行,不至于被DDoS攻击至瘫痪。阿里云不仅具备强大的计算能力、大数据处理能力,它还具备很高的安全性,拥护抗DDoS的专业防护产品,可以防护各种类型的DDoS攻击,是各大企业抗DDoS攻击的不错选择。

对于大中小企业而言,如何做好DDoS攻击的防范工作,以及提前应该部署哪些安全防御措施,阿里云安全专家建议如下:

1. 尽早发现系统存在的攻击漏洞,及时安装系统补丁程序,避免企业的电脑沦为黑客的肉鸡,被利用来对外进行DDoS攻击。

2. 经常检查物理设备,禁止设备上的不必要的服务和端口。建立边界安全界限,确保进出包都能受到正确的限制

3. 利用网络安全设备来加固企业的网络安全。配置好这些设备的安全规则,过滤掉伪造数据包。

4. 尽可能的将企业的服务采用分布式集群的方式部署。当企业服务器的一个节点被攻击而无法提供正常服务的时候,通过负载均衡调度,自动将企业服务切换到其他服务器节点上去,确保企业服务正常运转,避免被攻击后出现企业服务瘫痪的情况。

附录:

中国香港地区DDoS-botnet态势分析

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

大数据

大数据

涂子沛 / 广西师范大学出版社 / 2013-4-1 / 49.90元

公布官员财产美国是怎么做的,美国能让少部人腐败起来吗,美国式上访是怎么回事,凭什么美国矿难那么少,全民医改美国做得到吗,美国总统大选有什么利器才能赢,下一轮全球洗牌我们世界工厂会被淘汰吗…… 除了上帝,任何人都必须用数据来说话。 大数据浪潮,汹涌来袭,与互联网的发明一样,这绝不仅仅是信息技术领域的革命,更是在全球范围启动透明政府、加速企业创新、引领社会变革的利器。现代管理学之父德鲁克有......一起来看看 《大数据》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

随机密码生成器
随机密码生成器

多种字符组合密码

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具