安天针对 “暗云Ⅲ” 的样本分析

Size: px

Start display at page:

Download "安天针对 “暗云Ⅲ” 的样本分析"

佃周
5 years ago
Views:

1 及解决方案安天安全研究与应急处理中心 (Antiy CERT) 扫二维码获取最新版报告初稿完成时间 :2017 年 05 月 30 日 20 时 38 分首次发布时间 :2017 年 06 月 10 日 05 时 38 分目录本版更新时间 :2017 年 06 月 12 日 17 时 00 分

2 1 事件回顾暗云 Ⅲ 进行 DDOS 攻击的目标暗云 Ⅲ 样本分析模块 1 分析模块 2 和 MBR 写入分析模块 4 样本分析解决方案暗云 Ⅲ 之思附录一 : 参考链接附录二 : 关于安天... 20

3 1 事件回顾安天安全研究与应急处理中心 (Antiy CERT) 在北京时间 5 月 26 日 19 时, 监测到中国发生了一次大规模的 DDoS 攻击事件参与攻击的源地址覆盖广泛, 几乎在全国所有省市运营商的骨干网络上均有明显活动研究人员将此次攻击命名为 RainbowDay 暗云 Ⅲ 经过多次取证分析发现, 其恶意代码感染量较大, 并且其恶意代码的功能非常复杂, 利用带有正常数字签名的文件进行传播, 同时具有下载文件执行刷流量 DDoS 攻击等行为 2 暗云 Ⅲ 进行 DDoS 攻击的目标本次攻击开始于 5 月 26 日 19 时, 全国有大量真实 IP 地址被动发起 DDoS 攻击, 随后又进行了二次 DDoS 攻击按时间顺序, 其攻击目标有三个 : 遭受攻击的 IP 攻击情况说明攻击第一阶段, 于 5 月 26 日 19 时全国大量真实 IP 地址开始攻击 , 一直持续到 28 日凌晨 3 时结束经调查, 该 IP 为广东佛山高防机房攻击第二阶段, 于 5 月 28 日早 7 时左右开始攻击 , 该 IP 为辽宁省途隆公司的高防机房据途隆公司所说, 从 2017 年 5 月 28 日 8:14:10, 途隆云高防 BGP 数据中心遭受了黑客组织激烈的定向攻击, 本次攻击一直持续到 16:31:51, 历时 8 小时, 攻击流量达到 650G 多, 攻击强度达到每秒 3 亿次连接该 IP 为青岛市电信 5 月 28 日发现大量用户机器向指定的 IP 地址发数据包, 每秒发包数次并且数据量非常大安天版权所有, 欢迎无损转载第 1 页

4 有大量真实 IP 地址在此期间对三个目标进行 DDoS 攻击, 下图为一些受害 IP 向 C2 服务器发起的请求, 每个真实 IP 都请求了十几次以上通过对 C2 地址的追溯, 我们发现此 DDoS 事件是通过在 C2 地址获取配置后所进行的 DDoS 攻击从一些数据上来看参与 DDoS 攻击的 IP 地址并不是全部, 只是部分受害 IP 更新了配置从而进行 DDoS 攻击安天版权所有, 欢迎无损转载第 2 页

3 暗云 Ⅲ 样本分析本次 DDoS 攻击事件最原始的传播是通过捆绑在下载器中的软件和一些 Patch 正常游戏微端的方式将 ShellCode 捆绑到正常游戏中, 修改了游戏程序中的一个资源文件 PNG, 在其尾部添加大量的 ShellCode 代码执行后会从网络上下载一个配置文件, 读取配置文件中的下载地址, 下载并执行所下载的 DLL 文件 ;

5 3 暗云 Ⅲ 样本分析本次 DDoS 攻击事件最原始的传播是通过捆绑在下载器中的软件和一些 Patch 正常游戏微端的方式将 ShellCode 捆绑到正常游戏中, 修改了游戏程序中的一个资源文件 PNG, 在其尾部添加大量的 ShellCode 代码执行后会从网络上下载一个配置文件, 读取配置文件中的下载地址, 下载并执行所下载的 DLL 文件 ; 然后再次通过网络下载文件 upcfg.db( 具有写 MBR 功能的模块 3) 执行执行后再一次连接网络下载文件 lcdn.db(lua 脚本解释器 ) 和 ndn.db(lua 脚本文件 ) 执行 DDoS 功能,lcdn.db 的功能是 DDoS, 而 ndn.db 是 lua 脚本整体执行流程如下图所示 : 安天版权所有, 欢迎无损转载第 3 页

整个传播通过 Patch 对一些游戏进行修改, 添加一些 ShellCode 并执行 ShellCode

11 3.1 模块 1 分析模块 1 为传播文件中最后要执行的文件该模块运行后会检查系统环境是否在虚拟机中, 尝试关闭指定的安全软件, 并查看计算机是否为网吧中的计算机, 然后将系统信息回传到服务器上服务器会根据返回信息发送一个配置文件, 其功能是下载一个 DLL 文件并执行,DLL 文件功能为下载 upcfg.db 文件 1. 通过读 weblander.ini 判断安装包文件格式, 必须包含两个下划线一个点及推广号 : 2. 通过 WMI 查询磁盘名称, 检测是否运行在虚拟机中 : 安天版权所有, 欢迎无损转载第 9 页

5. 上传系统信息, 如 MAC 和推广 ID: 信息回传后会获取一个下载配置信息, 下载 LDrvSvc.zip 并通过 rundll32.exe 加载 DLL 文件, 其为驱动人生的一个安装包, 里面有一个 DtCrashCatch.dll 恶意文件, 用于网络中下载感染 MBR 的文件 upcfg.

14 5. 上传系统信息, 如 MAC 和推广 ID: 信息回传后会获取一个下载配置信息, 下载 LDrvSvc.zip 并通过 rundll32.exe 加载 DLL 文件, 其为驱动人生的一个安装包, 里面有一个 DtCrashCatch.dll 恶意文件, 用于网络中下载感染 MBR 的文件 upcfg.db 模块 3.2 模块 2 和 MBR 写入分析模块 2 功能主要是从网络中下载 upcfg.db 文件并解密, 得到其中的 ShellCode 下载后的 upcfg.db 文件需要进行解密, 通过判断其前 4 个字节是否为 0xA5A5A5A5 来调用后面的 ShellCode 执行安天版权所有, 欢迎无损转载第 12 页

4 解决方案 [2] 根据暗云 Ⅲ 木马程序的传播特性,CNCERT 建议用户近期采取积极的安全防范措施安天建议: 1 不要选择安装捆绑在下载器中的软件, 不要运行来源不明或被安全软件报警的程序, 不要下载运行游戏外挂私服登录器等软件 2 定期在不同的存储介质上备份信息系统业务和个人数据 3 安装安天 RainbowDay( 暗云 Ⅲ) 专杀工具和安天智甲终端防御系统进行持续防护 1)

19 4 解决方案 [2] 根据暗云 Ⅲ 木马程序的传播特性,CNCERT 建议用户近期采取积极的安全防范措施安天建议: 1 不要选择安装捆绑在下载器中的软件, 不要运行来源不明或被安全软件报警的程序, 不要下载运行游戏外挂私服登录器等软件 2 定期在不同的存储介质上备份信息系统业务和个人数据 3 安装安天 RainbowDay( 暗云 Ⅲ) 专杀工具和安天智甲终端防御系统进行持续防护 1) 针对已感染暗云 Ⅲ 的主机, 建议采用安天 RainbowDay( 暗云 Ⅲ) 专杀工具进行查杀, 具体使用方法如下 : A. 用户使用 PE 镜像方式启动操作系统 ; B. 在 WinPE 启动环境下, 运行安天 RainbowDay( 暗云 Ⅲ) 专杀工具, 并点击开始排查按钮 ; C. 当显示发现 MBR 被暗云 Ⅲ 修改后, 提示是否修复, 点击确定按钮开始修复 ; 安天版权所有, 欢迎无损转载第 17 页

21 下载地址 : 2) 针对未感染的用户, 建议安装安天智甲终端防御系统进行持续防护, 安天智甲通过采用上层监控备份 MBR 底层防御多维度 MBR 改写监控等多种技术手段, 可有效防御恶意代码的绕过检测, 阻止非法修改 MBR 行为, 进而防御此类 Bootkit 恶意代码在终端网络侧, 安天智甲针对网络下载行为的 Payload Block 检测机制, 可以拦截恶意代码下载的可疑文件, 阻断其进行网络行为, 防止恶意代码下载更新恶意模块如有需要, 请联系安天 ( 可拨打 ) 5 暗云 Ⅲ 之思暗云 Ⅲ 木马通过游戏微端外挂私服登录器等方式进行传播, 且利用多种技术手段增强其隐蔽性目前, 被该木马控制的主机已形成了一个大规模僵尸网络, 且控制端可以通过更换脚本的方式对不同目标发起 DDoS 攻击 ; 同时, 病毒样本对数字签名的使用也印证了安天 CERT 于 2016 安天基础威胁年报中对代码签名体系已经被穿透 [1] 这一观点的论述传统的恶意代码处置观形成于 DOS 时代, 彼时的恶意代码主要以感染式病毒为主, 其窃密能力较弱传播效率低, 短时间内难以形成一定规模的经济模式针对此类恶意代码进行的查杀恢复处置模式也沿袭到了今天然而, 随着 PC 终端的迅速普及和互联网的高速发展,PC 及其他电子设备所承载的资产价值日益升高, 攻击者利用恶意代码对用户攻击的方式呈现多样性, 用户受侵害的程度有所增强, 传统的恶意代码处置观已无法满足当前复杂多样的网络安全威胁的处置流程商业军火的扩散全面降低了攻击成本, 使得当前恶意代码的作业深度, 由 Bootkit 等传统方法演进为更深度的技术 ( 如 Bioskit 固件程序等 ), 面对此类威胁时, 基于查杀恢复的处置思路并不能够达成防御效果安天版权所有, 欢迎无损转载第 19 页

22 针对此现状, 应建立新的恶意代码处置流程, 在完成基础恶意代码的查杀处置业务系统恢复后, 妥善规划后续的处置程序在按照安全规程重建环境, 保证安全策略合理系统补丁最新的条件下, 安装能力型厂商提供的终端安全产品, 推动积极防御威胁情报与架构安全和被动防御的有效融合, 建立攻击者难以预测的安全能力, 达成有效防护和高度自动化和可操作化的安全业务价值特别感谢 : 哈尔滨工业大学网络安全响应组附录一 : 参考链接 [1] 安天 CERT: 2016 年网络安全威胁的回顾与展望 [2] CNCERT: 关于暗云木马程序有关情况通报附录二 : 关于安天安天是专注于威胁检测防御技术的领导厂商安天以提升用户应对网络威胁的核心能力改善用户对威胁的认知为企业使命, 依托自主先进的威胁检测引擎等系列核心技术和专家团队, 为用户提供端点防护流量监测深度分析威胁情报和态势感知等相关产品解决方案与服务全球超过一百家以上的著名安全厂商 IT 厂商选择安天作为检测能力合作伙伴, 安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备近六亿部手机提供安全防护安天移动检测引擎是全球首个获得 AV-TEST 年度奖项的中国产品安天技术实力得到行业管理机构客户和伙伴的认可, 安天已连续五次蝉联国家级安全应急支撑单位资质, 亦是中国国家信息安全漏洞库六家首批一级支撑单位之一安天是中国应急响应体系中重要的企业节点, 在红色代码口令蠕虫震网破壳沙虫方程式等重大安全事件中, 安天提供了先发预警深度分析或系统的解决方案安天实验室更多信息请访问 : 中文 ) 英文 ) 安天版权所有, 欢迎无损转载第 20 页

魔鼬”木马DDoS事件分析

魔鼬”木马DDoS事件分析安天 - 安全研究与应急处理中心报告初稿完成时间 :2017 年 08 月 02 日 01 时 34 分首次发布时间 :2017 年 08 月 02 日 02 时 26 分本版本更新时间 :2017 年 08 月 02 日 16 时 30 分魔鼬木马 DDoS 事件分析目录 1 概述... 1 2 受攻击目标... 1 3 事件样本分析... 2 4 相关事件关联... 5 5 总结...