?

Sep 07 2016

從某云服務商溯源黑客老巢:實例講解Botnet僵尸網絡和DDoS

首頁 » 業界見聞 » 從某云服務商溯源黑客老巢:實例講解Botnet僵尸網絡和DDoS   

*本文原創作者:挑燈看劍,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載

本人最近在某云服務商的服務器上捕獲到一只活躍Bot僵尸,然后順藤摸瓜成功進入黑客的C&C控制中心,觀察到黑客團伙每天都會利用Botnet僵尸網絡發動DDoS攻擊,而這些Bot僵尸分布在世界各地,其中一部分Bot僵尸藏匿于服務器集群中。

本文暫不講解如何定位捕獲到Bot僵尸和如何潛入C&C控制中心,只講解Botnet相關知識、觀察到的Bot僵尸的行為表現、運行原理,以及幕后的黑客及其對集群的滲透原理。

僵尸網絡介紹

僵尸網絡(Botnet,又稱機器人網絡,Botnet是Robot network的合體詞),指黑客利用淪陷的機器(稱為肉雞或僵尸電腦)組織成一個個控制節點,然后通過控制服務器(Command and Control Server,又稱C&C、C2)對各分布式節點操控,組成一個僵尸網絡,發送偽造數據包或垃圾數據包,使預定攻擊目標癱瘓并拒絕服務(DoS, Denial of Service),有的Bot還會竊取受害組織的情報數據,并長期潛伏達數年,此類Botnet也是高級持續威脅(APT)的一種實現方式。

下表顯示了僵尸網絡在危害類軟件中排首位(摘自維基百科)

有害軟件 傳播性 可控性 竊密性 危害級別
僵尸網絡 具備 高度可控 全部控制:高
木馬 不具備 可控 全部控制:高
間諜軟件 一般沒有 一般沒有 信息泄露:中
蠕蟲 主動傳播 一般沒有 一般沒有 網絡流量:高
病毒 用戶干預 一般沒有 一般沒有 感染文件:中

Botnet網絡結構

下圖是常見的集中控制式的Botnet網絡結構,此外還有不太流行的P2P Botnet,本次抓到的Botnet屬于集中控制式的。

在集中控制式的Botnet中,各Bot和C&C通信,為了隱藏它們之間的通信,黑客常用IRC通道或HTTP站點,最近一些社交網站,如Twitter、Facebook也淪為C&C了。

就統計結果看,目前基于IRC通道的Botnet占絕大多數,本次抓到的Botnet也正是基于IRC通道。

Attacker通過C&C遙控世界各地的Bot對Victim發動DDoS攻擊。

2.jpg 

基于IRC通道的Botnet

IRC(Internet Relay Chat)是一種互聯網聊天協議,目前世界上有超過60個國家提供了IRC服務,它的特點是速度快,聊天幾乎沒有延遲現象,并且只占用很小的帶寬資源,所有用戶可以在一個稱為頻道(Channel)的地方交談或密探,和國內早期的聊天室很像,每個人都有一個昵稱。不同的是喜歡使用IRC聊天的幾乎都是軟件高手,IRC有一套復雜的操作命令,類似Linux下的命令行操作。

基于IRC的Botnet運行原理是每個Bot充當IRC Client角色,登錄到IRC Server,因此IRC Server充當了C&C控制中心的角色,從而形成了基于IRC的僵尸網絡,由于IRC服務遍布世界各地,而Channel可以任意創建,還有登錄授權認證,使得基于IRC的僵尸網絡非常隱蔽、易于構建和控制,因此這種僵尸網絡非常流行。

分析Bot源碼可以看到連接的C&C控制中心IP是128.*.*.*,位于新加坡。

3.jpg

而從服務器的登錄日志可以看到,黑客的IP是95.*.*.*,來自德國,登錄時間為8月28日凌晨4:39。

4.jpg

黑客通過C&C發出DDoS攻擊指令: !u @udp1 86.*.*.* 3306 30 , 該IP位于羅馬尼亞,3306端口可知是攻擊MySQL數據庫服務,持續時長30s。

5.jpg

整個分布式DDoS僵尸網絡攻擊圖如下,通過分布式的Botnet,黑客很好地把自己隱藏起來,通過IRC通道發出控制指令,控制這家云服務商網絡上的肉雞服務器發動DDoS攻擊。

6.jpg

DDoS背后的利益

Botnet僵尸網絡只是一種工具和手段,黑客發動DDoS攻擊的目的是為了錢,下面這個圖表(摘自知乎)顯示了DDoS收入趨勢,“2014年,全球DDoS攻擊的收入達到6億美元,中國DDoS攻擊的總收入為3千萬美元,到2020年,中國的DDoS攻擊的收入將達到1億美元,屆時中國將成為全球最大、最令人矚目的DDoS攻擊市場”

7.jpg

在分析Bot源碼后,本人順藤摸瓜登錄到C&C控制中心,觀察黑客的行為,發現他們在叫賣DDoS攻擊服務,下面紅線標注的是羅馬尼亞語,用谷歌翻譯成英文為一個IRC通道賣30歐元。

8.jpg

 

 

9.jpg

黑客一邊演示DDoS攻擊,一邊告訴賣家”The attack is ready and it’s till down the server”(棕色箭頭指示的羅馬尼亞語翻譯成英文),意為”攻擊已經開始了,直到把服務器搞垮”,看樣子買家是羅馬尼亞的。

10.jpg

11.jpg

然后買家登錄IRC通道親自體驗一把DDoS攻擊,使用udpflood指令讓僵尸網絡對5.*.*.*的53端口(DNS服務器)發起UDP洪泛攻擊。

12.jpg

Botnet操控示例

1. 發起對某個IP發起UDP 1型攻擊,并指定攻擊端口和攻擊時長,從Bot源碼分析可知有三種類型的UDP攻擊,攻擊強度以此增加。

下面是黑客與9月1日對葡萄牙的一個Web服務器進行2.7個小時(10000秒)的攻擊

13.jpg

2.發起UDP洪泛攻擊,可迅速搞垮對方,下圖中發起洪泛攻擊后,再ping就不通了,返回請求超時。

14.jpg

3.執行系統命令,比如uptime,!u表示對所有的受控Bot僵尸有效,也可執行cd, wget, top等系統命令。

15.jpg

4.執行黑客自定義的命令,比如.kill, .udpflood, .clear等,以小數點開頭標識。

16.jpg

 

5.發起其它類型的攻擊。

比如TCP Flood、HTTP Flood等,Bot源碼中雖然有很多攻擊類型,但據實際觀察,發現黑客一直在使用UDP類型的攻擊,也許是因為它比TCP類型的攻擊更難防,因為TCP是需要建立連接的,很容易被IDS/IPS設備RST調,也很容易通過設置協議棧Syn Cookies屏蔽掉攻擊包。

6.Bot僵尸還有端口掃描功能,掃描肉雞網內其它弱點機器,然后嘗試感染擴散Bot。

17.jpg

 

DDoS分布

據FireEye公司發布的一份最新報告顯示,亞洲和東歐是網絡攻擊的熱點區域。我們對回調標記的平均數以公司為單位進行計算并按國家分類,亞洲的中國大陸,韓國,印度,日本以及香港地區占全球攻擊事件總數的%24。而東歐的俄國,波蘭,羅馬尼亞,烏克蘭,哈薩克斯坦以及拉脫維亞以22%的比例緊隨其后。

網上另一份數據表明(下圖),在2013年,全球43%的DDoS攻擊流量來自中國,而這些攻擊流量大部分都是來自肉雞機器,比如這家云服務商服務器集群中的肉雞。當年的藍翔肉雞事件鬧的沸沸揚揚,藍翔技校的機房被黑客攻陷作為肉雞,對美國發起DDoS攻擊,事后竟使藍翔技校一夜成名,成為背鍋俠。

 18.jpg

根據這幾天的觀察,被攻擊者IP主要有以下這些,雖然黑客每天不斷發起DDoS攻擊,還會有更多的被攻擊IP出現。

74.207.227.163美國

104.25.80.35美國

216.58.208.33美國

52.8.126.80美國

84.232.157.198羅馬尼亞

188.212.101.36羅馬尼亞

86.127.115.253羅馬尼亞

46.37.14.7意大利

109.48.173.34 葡萄牙

幕后的黑客

通過分析Bot僵尸源碼,發現了藏匿Bot僵尸程序的Web Server,本人訪問該網站竟然發現了德國黑客的視頻照片,先貼一張側面照片,還有正面清晰的照片暫不公開了。同時還發現了黑客的Twitter和Skype賬號,以及使用Skype兜售Bot的聊天記錄

19.jpg

 

黑客滲透云服務器

通過人肉黑客的Skype賬號,發現他在Youtube上傳了一個視頻,向買家演示如何滲透弱點機器,演示視頻中黑客登錄的服務器IP正是這家云服務商的服務器,而其滲透掃描和賬號爆破的弱點機器IP也是其服務器,至此可以充分證明黑客早已滲透到其服務器集群,對服務器全網掃描,然后進行賬號暴力破解,進而安裝Bot僵尸作為肉雞,以便隨時進行DDoS。

下圖中紅框中的三臺服務器均屬于這家云服務商的機器,機器的hostname有個特點是以AY或i開頭,故可猜測前兩個是這家的機器,第三個顯示了IP,查詢結果為其機器。

20.jpg

21.jpg

 

22.jpg

 

 

 


警覺的黑客

也許黑客嗅出了不對勁的地方,就在我進入C&C控制中心后的第二天,發現黑客不停地挨個把Bot重啟,并轉移IRC通道(我趕緊再進入新的通道,嘿嘿),同時升級更新Bot程序,加入了嚴格檢查DDoS控制指令的發起者電腦hostname和用戶名,保證了只有黑客本人才能控制僵尸網絡,這真是一場斗智斗勇的過程。

結束語

本人已將此Botnet僵尸樣本提交給這家云服務商的安全團隊分析處理,希望他們能徹底清理隱藏在集群中的僵尸以及幕后的黑手!雖然本文到此結束了,但是黑客的攻擊行為仍然每天在進行中,這是一場永不停息的斗爭!

*本文原創作者:挑燈看劍,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載

 

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽: Botnet 僵尸網絡

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «Spring Boot框架Whitelabel Error Page SpEL注入漏洞分析 | mOon Security Team Fox-scan 掃描器發布»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

已有1條評論

匿名

2016-09-09 14:19 沙發
看起來很有意思,講講怎么玩的豈不是要火
?
?
河北11选5开奖