歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

EternalBlue與Trojan[DDoS]/Win32.Nitol.M的“狼狽為奸”

來源:本站整理 作者:佚名 時間:2017-08-26 TAG: 我要投稿

1. 前言
2017年4月被匿名黑客“影子經紀人”公布了第二批NSA武器,其中就包含了"EternalBlue"——MS17-010漏洞,5月中旬該漏洞的自動化利用工具如雨后春筍般在地下黑產出現并迅速傳播,目前為止安天捕風監控捕獲到的"EternalBlue"自動化利用工具已經已有多套(見圖1-1 工具集合),這也證實國外某黑客“NSA工具公布意味著黑客平民化開始”的警告言論。

圖1-1 工具集合
"EternalBlue"自動化工具的出現伊始就已經實現漏洞與各類型病毒結合。從早期監控捕獲到的"EternalBlue"與Gh0st遠控的為虎作倀實現RAT(Remote Accass Trojan)自動化種植感染,到現在的"EternalBlue"與Nitol.M的狼狽為奸實現DDoS botnet快速自動化拓展“肉雞”,都警示著:互聯網安全形勢越發嚴峻,為互聯網安全保駕護航更是任重而道遠。
2. 基本信息

表1-1 樣本基本信息
3. 傳播方式
2017-08-14 08:41:54,安天-捕風監控到一則木馬感染事件(見圖3-1 監控捕獲數據),并自動獲取相關hfs(HTTP Files Server)目錄下的樣本數據。發現hfs里面還存放有"EternalBlue"自動化利用工具(見圖3-2 hfs數據),經過IDA分析x86.dll樣本得知利用該工具感染的病毒正是Trojan[DDoS]/Win32.Nitol.M被控端木馬(見圖3-3 木馬下載url地址),即http://***.***.166.83:5999/hw1.exe的Trojan[DDoS]/Win32.Nitol.M樣本可以通過該工具利用MS17-010漏洞進行自動化“肉雞”拓展。

圖3-1 監控捕獲數據

圖3-2 hfs數據

圖3-3 木馬下載url地址
4. 樣本詳細分析
因為DDoS botnet的Nitol家族源碼早已開源化,所以互聯網上出現很多根據源碼改進的變種版本,Trojan[DDoS]/Win32.Nitol.M就是其中之一,主要實現DDoS攻擊類型有syn flood、udp flood、icmp flood、tcp flood、dns flood、cc flood。
1)樣本備份與創建服務
樣本運行會通過檢查服務名稱".Net CLR"(該服務名稱是Nitol家族默認服務名稱)存在與否來驗證樣本是否初次運行。見圖4-1 檢查服務名稱:

圖4-1 檢查服務名稱
2)如果服務名不存在,則進行樣本備份和創建服務實現樣本自啟動而長期駐留受害系統。
見圖4-2 樣本備份及自啟動設置:

圖4-2 樣本備份及自啟動設置
3)配置解密獲取C2并創建連接。
在配置解密上Trojan[DDoS]/Win32.Nitol.M同樣繼承Nitol家族系列的風格,使用base64 + 凱撒位移 + 異或三重算法進行加密。
見圖4-3 C2配置解密:

圖4-3 C2配置解密
4)獲取系統配置信息。
獲取系統版本和CPU配置及內存信息作為向C2發送的首包內容,并實時等待接收C2遠程指令,見圖4-4 bot與C2通訊交互:

圖4-4 bot與C2通訊交互
5)解析并執行C2的遠程指令。
當接收到C2的遠程指令是首先對指令類型進行識別鑒定,然后分類執行(見圖4-5 識別鑒定指令類型)。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视