DDoS攻擊通過大量合法的請求占用大量網(wǎng)絡(luò)資源，以達到癱瘓網(wǎng)絡(luò)的目的，詞文章主要是針對那些對一種被大量肉雞使用，面向目標(biāo)IP發(fā)起DDoS攻擊的木馬工具。

本篇文章是對一種被大量肉雞使用，面向目標(biāo)IP發(fā)起DDoS攻擊木馬工具的詳細分析。

一 背景

近期，阿里云云盾安全攻防對抗團隊通過異常流量分析和攻擊溯源發(fā)現(xiàn)了一種被大量肉雞使用，面向目標(biāo)IP發(fā)起DDoS攻擊的木馬工具。經(jīng)過取樣和入侵分析，我們發(fā)現(xiàn)該DDoS攻擊工具大部分是由于網(wǎng)絡(luò)上某些服務(wù)器存在Mysql或SqlServer弱密碼等原因被入侵，被黑客傳入大量惡意軟件，其中包括該款DDoS工具：

文件名：DbProtectSupport.exeMD5：412e6b0de470907cba75e00dde5a0086

該DDoS工具運行后先通過反彈的方式主動與遠程主機連接，遠程控制機隨后向該DDoS工具傳遞攻擊的目標(biāo)IP。DDoS工具隨后使用自己所攜帶的Winpcap驅(qū)動直接操作網(wǎng)卡發(fā)包，向目標(biāo)IP發(fā)動SYN流量攻擊。

二 樣本簡介

該DDoS工具啟動后，會先獲取主機信息（系統(tǒng)版本、CPU架構(gòu)，網(wǎng)卡信息，MAC地址），然后主動通過設(shè)定好的域名來連接遠程主機。建立連接后，將這些信息發(fā)送給遠程主機。同時，工具會創(chuàng)建線程等待主機發(fā)來攻擊目標(biāo)IP。當(dāng)遠程控制機與該DDoS進行一系列的準(zhǔn)備工作通信后，會給其發(fā)送一個攻擊指令包，該指令包會包含攻擊目標(biāo)IP地址。

該DDoS工具接收到攻擊指令后，會自助將目標(biāo)IP填充為SYN包，然后調(diào)用Winpcap驅(qū)動，直接操作網(wǎng)卡發(fā)送填充好的攻擊流量包。攻擊流程如圖1所示。

圖1 攻擊流程

三 詳細分析

3.1 網(wǎng)絡(luò)流量分析

在測試機中(由于隱私需要，將部分機器IP、MAC地址隱藏)將該程序啟動，通過分析網(wǎng)絡(luò)流量會發(fā)現(xiàn)該程序在與遠程控制機建立連接后會立即向遠程主機發(fā)生一個“報告包”，該包包含了本機的系統(tǒng)版本，如圖2所示.

圖2 描藍包所顯示的數(shù)據(jù)有一段Windows Server 2003（紅框所示）

后續(xù)會進行一段時間的相互通信，通過數(shù)據(jù)分析發(fā)現(xiàn)，該通信包無明顯特征，應(yīng)該是為防止下斷recv，增加分析recv包的難度。經(jīng)過該段時間通信后，控制端會發(fā)送一個明顯突變的包，然后受控機開始進行向外DDoS攻擊。通過分析該包內(nèi)容，該包明顯相較于其他數(shù)據(jù)包不一樣，對比隨后就發(fā)生的DDoS攻擊的目的IP地址，發(fā)現(xiàn)該包包含了DDoS攻擊目標(biāo)IP與端口號，因此可判斷為該包為指令包，如圖3所示。

圖3 描藍即為指令包，受控機收到該包后隨后控制機即對外部進行DDoS攻擊，其中紅框即為目標(biāo)攻擊IP

3.2 文件逆向分析

通過對程序逆向分析，發(fā)現(xiàn)程序運行后會獲取主機的信息（系統(tǒng)版本、CPU架構(gòu)，網(wǎng)卡信息，MAC地址），如圖4、5、6、7所示：

圖4 系統(tǒng)版本

圖5 CPU核心和架構(gòu)

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。