频道栏目
首页 > 安全 > 网络安全 > 正文

ddos攻击病毒样本溯源与研究,一起游戏私服同行间发动的DDoS攻击

2017-09-12 10:47:58      个评论      
收藏   我要投稿

上月中下旬样子,腾讯电脑管家反病毒实验研究室发觉到023155.cn(222.186.129.87)正蒙受大批DDoS打击。网安职员经由过程苦心追踪总算捕获到上百个DDoS打击样本,并第一光阴实现全体查杀。风趣的是,提议进击者和被进击者都是游戏私服网站,进击缘故原由未知。下文具体阐发这些进击样本若何提议DDoS进击,并溯源其样本泉源和流传渠道。

一、 样本阐发

母体:6f41f5483da69dd6faf19a58c57d7491

子体:f173f692970a20fa8ca49423d6ad8e89

该起DDoS进击的样本是经由过程一个下载者(母体)下载来的(C&C :ddos.m0427.com-> 103.40.102.87),这里下载的是W4.7.exe样本。经阐发发明,这个样本仅在收到C&C指令后提议DDoS进击,别的光阴不停处于“休眠状态”,并没有别的远控行动。

\

1. 母体阐发

1) 母体是一个下载者,拷贝本身到体系System32目录下,而后挪用CreateService创立办事,实现开机自启动。

\

2) 拜访http://103.40.102.87/W4.7.exe下载干活的远控木马,并CreateProcess拉起来。每次都可经由过程云设置装备摆设下载分歧的干活法式。

\

2. 子体阐发

1) 晋升体系权限和封闭UAC关照

\
\

2) 挪用DnsFlushResolverCache消除DNS缓存,包管剖析到最新IP。

3) 在本身前面添补0x2E,使其巨细到达三十多MB,以反抗杀软网络样本云。拷贝本身到C:\WINDOWS\WindowsUpdata\ohumykb.exe,文件名是随机的。而且改动注册表创立开机自启动。

\

4) 挪用CreateMutexA创立互斥量,包管只有一个实例运转。

5) 衔接C&C 办事器daghfgdgab.lvdp.net ->103.40.102.87。

\

6) 挪用GetVersionExA、GlobalMemoryStatus获得体系版本信息、内涵信息和CPU信息。挪用send,并经由过程TCP协定把数据传给C&C。

\

7) C&C前往的指令阐明以下,实现一次DDoS进击的指令次序:3 -> 1->4 ->2。

指令

阐明

1

读 Config.ini 设置进击参数

2

结束加入

3

写 Config.ini 设置装备摆设文件,包含进击目的域名信息

4

提议 DDoS 进击

8) 进击时,结构http包信息,模仿浏览器拜访,防止DDoS进击包被过滤掉。

\

二、 溯源

从daghfgdgab.lvdp.net域名开端溯源,发明许多私服登岸器,实际上是会释放远控木马,这些私服登岸器经由过程SNS渠道、游戏外挂网站流传。阐发发明,远控木马大部分是gh0st系列和灰鸽子系列,单个样本广度很低,然则样本量许多,大略预算有几百个远控木马,从域名IP和代码特性,能够肯定是统一团伙搞的。

风趣的是被进击的网站也是一家私服网站,进击缘故原由鲜为人知。

1. DDoS进击样本

C&C:103.40.102.87

6f41f5483da69dd6faf19a58c57d7491

38e451a4adc01f48ba1136d381966954

6355310f2c804fae2b0b97ed4dcd73ff

cd65b0c4a009ef69535199f62dc09e03

0e7ae33f69aceb943b799dd9b1faf774

38e451a4adc01f48ba1136d381966954

0e7ae33f69aceb943b799dd9b1faf774

……

2. gh0st系列远控

C&C : 221.229.160.197,123.56.41.200

8c19d83ff359a1b77cb06939c2e5f0cb NetSyst96.dll

aa3ad0036b746783b6b0d029f1d3261a 2018登录器.exe 远控木马

d4f3287e5e068c43aaec29dbac583e97 春暖花开–登录器.exe

ccf4f967a0f025ea1da1bfa283760cf1 世外桃源–登录器

411087ce808065022c30610a9bdb656e 问道失常服.exe

……

3. 灰鸽子系列

45a89c140eca4ac38cb8986cfcf341ec

02f0849026bdef8ce8304aa640e73663

966F65D0FA166B3459755AE92690C652

……

\

4. 提议DDoS打击的游戏私服网站

\

5. 被DDoS打击的游戏私服网站

\
上一篇:笔记:Web安全
下一篇:黑客利用脸书等公共服务的CDN网络散布恶意软件、躲避安全监测
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训

版权所有: 红黑联盟--致力于做实用的IT技术学习网站