近期阿里云態(tài)勢(shì)感知發(fā)現(xiàn)一起中控位于中國(guó)香港地區(qū)的DDoS惡意攻擊事件，通過追蹤溯源發(fā)現(xiàn)，該DDoS木馬是XorDDoS-botnet的新變種，中控域名為：jun6.f3322.net，中控服務(wù)器IP是位于中國(guó)香港的118.184.43.7。從2017年11月份開始在互聯(lián)網(wǎng)上活動(dòng)，持續(xù)至今。該木馬通過爆破的方式、以及JAVA Struts漏洞來抓取網(wǎng)上肉雞，然后通過添加自啟動(dòng)服務(wù)，和安裝RootKit驅(qū)動(dòng)的方式以達(dá)到常駐肉雞電腦的目的。通過與中控服務(wù)器通信不斷進(jìn)行更新迭代，而且時(shí)刻準(zhǔn)備著接受黑客的攻擊指令，從而對(duì)國(guó)內(nèi)外的許多用戶進(jìn)行DDoS攻擊。

基于阿里云態(tài)勢(shì)感知的大數(shù)據(jù)平臺(tái)，我們對(duì)該DDoS-botnet組織進(jìn)行了追蹤和簡(jiǎn)要分析，發(fā)現(xiàn)該組織的中控主要集中在中國(guó)香港地區(qū)，且長(zhǎng)期活躍，這引起了我們的高度關(guān)注。再次出發(fā)，我們對(duì)中國(guó)香港地區(qū)的DDoS-botnet做了簡(jiǎn)單研究，從發(fā)展趨勢(shì)、木馬類型、攻擊類型、以及發(fā)起攻擊的破壞力等等多維度進(jìn)行數(shù)據(jù)分析，給出中國(guó)香港地區(qū)DDoS黑產(chǎn)的概貌。

XorDDoS-botnet案例的詳細(xì)分析

XorDDoS-botnet樣本分析

• 樣本簡(jiǎn)介
  樣本的基本信息如下：

• 樣本運(yùn)行流程圖
  
• 樣本核心代碼分析

該DDoS木馬為了常駐肉雞的電腦，它會(huì)在啟動(dòng)的開始就添加自啟動(dòng)服務(wù)。其代碼如下：

最后木馬會(huì)在crontab中添加定時(shí)任務(wù)，保證被結(jié)束進(jìn)程后還能運(yùn)行起來。

該木馬為了隱藏自己，還會(huì)攜帶rootkit驅(qū)動(dòng)，如果該rootkit驅(qū)動(dòng)程序存在，則會(huì)發(fā)送指令：0x9748712，隱藏進(jìn)程的網(wǎng)絡(luò)端口。其核心代碼如下：

其中隱藏的網(wǎng)絡(luò)端口的核心代碼如下：

木馬啟動(dòng)后，會(huì)解密出中控域名，并自動(dòng)連接中控服務(wù)器。其中解密中控域名的核心代碼如下：

我們通過動(dòng)態(tài)調(diào)試，最終得到其解出來的中控域名為:jun6.f3322.net ,動(dòng)態(tài)調(diào)試截圖如下：

d.木馬在與中控通訊過程中，會(huì)將肉雞的cpu信息、內(nèi)存信息、帶寬信息全部上傳到中控服務(wù)器上，以便黑客控制進(jìn)行DDoS攻擊的強(qiáng)度。其核心代碼如下：

該DDoS木馬主要的攻擊類型有兩種：SYN攻擊和DNS攻擊。通過接受中控的命令，對(duì)攻擊目標(biāo)發(fā)起攻擊。其核心代碼如下：

XorDDoS-botnet發(fā)展過程

阿里云態(tài)勢(shì)感知發(fā)現(xiàn)該中控于2017年11月，其中控域名為：jun6.f3322.net。該黑客組織持續(xù)經(jīng)營(yíng)著該僵尸網(wǎng)絡(luò)，不斷迭代更新，持續(xù)至今。根據(jù)阿里云態(tài)勢(shì)感知的大數(shù)據(jù)監(jiān)控顯示，該僵尸網(wǎng)絡(luò)至少已經(jīng)存活9個(gè)月之久，攻擊的全球不同地域的用戶數(shù)不計(jì)其數(shù)。下面是該XorDDoS-botnet的發(fā)展歷程：

該中控的肉雞的變化趨勢(shì)
冰凍三尺非一日之寒，阿里云態(tài)勢(shì)感知從持續(xù)跟蹤監(jiān)控到的數(shù)據(jù)顯示，該XorDDoS僵尸網(wǎng)絡(luò)經(jīng)過9個(gè)月左右的持續(xù)發(fā)展和更新迭代，肉雞規(guī)模不斷壯大。在2018年4月份的時(shí)候，其肉雞規(guī)模達(dá)到了頂峰，其變化趨勢(shì)圖如下：

該中控肉雞攻擊用戶的國(guó)內(nèi)外分布情況
該XorDDos僵尸網(wǎng)絡(luò)所控制的肉雞數(shù)量龐大，其攻擊的受害用戶地理分布也十分廣，覆蓋了國(guó)內(nèi)的25個(gè)省區(qū)。其中中國(guó)香港地區(qū)的受害用戶數(shù)排名第二，是重災(zāi)區(qū)。該XorDDoS僵尸網(wǎng)絡(luò)控制肉雞攻擊受害用戶的數(shù)量及分布詳情如下圖：

阿里云態(tài)勢(shì)感知通過對(duì)該XorDDoS僵尸網(wǎng)絡(luò)肉雞的相關(guān)數(shù)據(jù)進(jìn)行大數(shù)據(jù)統(tǒng)計(jì)，總結(jié)出了該僵尸網(wǎng)絡(luò)所攻擊的全球用戶的數(shù)據(jù)情況，其攻擊的全球不同區(qū)域的用戶的實(shí)時(shí)動(dòng)態(tài)如下圖所示：

阿里云態(tài)勢(shì)感知通過對(duì)該XorDDoS-botnet深入分析后，我們心中產(chǎn)生了一系列的疑問。為什么該DDoS-botnet的攻擊能力如此強(qiáng)大？中國(guó)香港地區(qū)的DDoS黑色產(chǎn)業(yè)現(xiàn)狀如何？該XorDDoS-botnet會(huì)不會(huì)只是其DDoS黑色產(chǎn)業(yè)的冰山一角？

中國(guó)香港地區(qū)DDoS-botnet的研究

目前現(xiàn)狀概述
DDoS黑色產(chǎn)業(yè)由來已久，但是經(jīng)久不衰，持續(xù)的威脅和迫害者網(wǎng)上的個(gè)人用戶以及企業(yè)用戶。這些年互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，DDoS產(chǎn)業(yè)的隨著時(shí)代的步伐不斷進(jìn)步，由以前的幾個(gè)G的攻擊流量增加到幾百G，甚至高達(dá)T級(jí)別的攻擊流量。尤其是反射攻擊，比如今年的memcache反射攻擊，將攻擊威力放大近萬(wàn)倍，攻擊流量輕易就可以達(dá)到T級(jí)別。不僅攻擊流量增大很多，其中可參與DDoS攻擊的設(shè)備類型也有增加，除了傳統(tǒng)的linux和windows服務(wù)器，還增加了龐大IOT設(shè)備。

據(jù)阿里云態(tài)勢(shì)感知的大數(shù)據(jù)分析平臺(tái)統(tǒng)計(jì)，目前中國(guó)國(guó)內(nèi)的DDoS類的肉雞規(guī)模在百萬(wàn)級(jí)別，而我們這次調(diào)研的中國(guó)香港地區(qū)的DDoS肉雞規(guī)模占據(jù)了總量的2%-3%左右。且香港地區(qū)的的DDoS-botnet的攻擊類型也十分 的豐富，多達(dá)十幾種。市面上目前比較流行的各DDoS木馬家族在香港地區(qū)也有發(fā)現(xiàn)，發(fā)現(xiàn)XorDDoS木馬家族 占比較高。 該地區(qū)肉雞的DDoS攻擊流量范圍也十分的廣，最小攻擊流量在1G左右，最大攻擊流量在500G至1T之間，對(duì)互聯(lián)網(wǎng)上用戶的危害非常之大。

中控?cái)?shù)量統(tǒng)計(jì)
阿里云態(tài)勢(shì)感知大數(shù)據(jù)監(jiān)控顯示，從2018年初至今，香港地區(qū)的DDoS僵尸網(wǎng)絡(luò)的中控?cái)?shù)量還在不斷攀升，以下是目前在香港地區(qū)的DDoS-botnet中控?cái)?shù)量的變化趨勢(shì)：

常用DDoS木馬類型統(tǒng)計(jì)
目前香港地區(qū)發(fā)現(xiàn)的DDoS類木馬的種族也十分豐富，有XorDDoS家族、Gates家族、Mayday家族等等，幾乎涵蓋了市面上所有流行的DDoS木馬類家族。其中XorDDoS家族占比最高，這也恰恰驗(yàn)證了上文分析的XorDDoS-botnet的攻擊能力為什么如此強(qiáng)大。下面是中國(guó)香港地區(qū)常用DDoS類木馬家族的占比詳情圖：

肉雞數(shù)量統(tǒng)計(jì)
從阿里云態(tài)勢(shì)感知近半年監(jiān)控到的DDoS-botnet數(shù)據(jù)顯示，香港地區(qū)的DDoS類肉雞的數(shù)量起伏比較大，在2018.02時(shí)該地區(qū)的肉雞數(shù)量達(dá)到小高峰。以下是近半年香港地區(qū)的DDoS類肉雞的變化趨勢(shì)圖

DDoS攻擊類型統(tǒng)計(jì)
據(jù)阿里云態(tài)勢(shì)感知的大數(shù)據(jù)分析統(tǒng)計(jì)，中國(guó)香港地區(qū)的DDoS攻擊類型十分豐富，幾乎涵蓋了目前DDoS黑產(chǎn)里面的所有常用的，且攻擊流量大的攻擊類型，其中反射型的攻擊方式有逐漸成為主流攻擊方式的趨勢(shì)。以下是香港地區(qū)的所有的攻擊類型及其所占的比例的詳情圖：

DDoS攻擊破壞力統(tǒng)計(jì)
香港地區(qū)的DDoS類肉雞雖然只占全國(guó)肉雞總量的2%-3%，但是該地區(qū)肉雞的DDoS攻擊破壞力卻不小。最小攻擊流量在1G左右，其最大攻擊流量在500G以上，其中攻擊流量在100G以上的，約占總量的50%左右。以下是香港地區(qū)DDoS類肉雞攻擊流量范圍占比圖：

總結(jié)及建議

DDoS攻擊是網(wǎng)絡(luò)安全攻防領(lǐng)域長(zhǎng)盛不衰的話題。近些年隨著各種技術(shù)的快速發(fā)展，DDoS黑色產(chǎn)業(yè)也在不斷進(jìn)步。尤其是反射性DDoS攻擊的出現(xiàn)，為DDoS攻擊產(chǎn)業(yè)提供了"核武器"，將攻擊流量放大近萬(wàn)倍，最高可達(dá)5萬(wàn)倍，其殺傷力可見一斑。透過對(duì)中國(guó)香港地區(qū)DDoS-botnet的研究，以及結(jié)合阿里云態(tài)勢(shì)感知的大數(shù)據(jù)分析，我們可以宏觀的看到中國(guó)香港地區(qū)DDoS產(chǎn)業(yè)的"繁華"。今年以來中控?cái)?shù)量不斷攀升，攻擊木馬類型日漸豐富，攻擊流量更是突破T級(jí)別，百G攻擊流量已占比達(dá)到50%左右。顯而易見，中國(guó)香港地區(qū)的個(gè)人用戶和企業(yè)用戶正在遭受各種DDoS-botnet的控制和攻擊，其個(gè)人用戶和企業(yè)加強(qiáng)安全防范措施已迫在眉睫，尤其企業(yè)用戶。他們需要強(qiáng)大的保護(hù)傘，來保護(hù)其各種業(yè)務(wù)的正常運(yùn)行，不至于被DDoS攻擊至癱瘓。阿里云不僅具備強(qiáng)大的計(jì)算能力、大數(shù)據(jù)處理能力，它還具備很高的安全性，擁護(hù)抗DDoS的專業(yè)防護(hù)產(chǎn)品，可以防護(hù)各種類型的DDoS攻擊，是各大企業(yè)抗DDoS攻擊的不錯(cuò)選擇。

對(duì)于大中小企業(yè)而言，如何做好DDoS攻擊的防范工作，以及提前應(yīng)該部署哪些安全防御措施，阿里云安全專家建議如下：

盡早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序，避免企業(yè)的電腦淪為黑客的肉雞，被利用來對(duì)外進(jìn)行DDoS攻擊。

經(jīng)常檢查物理設(shè)備，禁止設(shè)備上的不必要的服務(wù)和端口。建立邊界安全界限，確保進(jìn)出包都能受到正確的限制

利用網(wǎng)絡(luò)安全設(shè)備來加固企業(yè)的網(wǎng)絡(luò)安全。配置好這些設(shè)備的安全規(guī)則，過濾掉偽造數(shù)據(jù)包。

盡可能的將企業(yè)的服務(wù)采用分布式集群的方式部署。當(dāng)企業(yè)服務(wù)器的一個(gè)節(jié)點(diǎn)被攻擊而無(wú)法提供正常服務(wù)的時(shí)候，通過負(fù)載均衡調(diào)度，自動(dòng)將企業(yè)服務(wù)切換到其他服務(wù)器節(jié)點(diǎn)上去，確保企業(yè)服務(wù)正常運(yùn)轉(zhuǎn)，避免被攻擊后出現(xiàn)企業(yè)服務(wù)癱瘓的情況。

附錄：

總結(jié)

以上是生活随笔為你收集整理的中国香港地区 DDoS- botnet 态势分析的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。