一起游戏私服同行发起的DDoS攻击：样本分析与溯源

8月中旬，腾讯电脑管家反病毒实验室发现023155.cn(222.186.129.87)正遭遇大量DDoS攻击。安全人员通过溯源，捕获到上百个DDoS攻击样本，并第一时间实现全部查杀。有趣的是，发起攻击者和被攻击者都是游戏私服网站，攻击原因未知。下文详细分析这些攻击样本如何发起DDoS攻击，并溯源其样本源头和传播渠道。

一、 样本分析

母体：6f41f5483da69dd6faf19a58c57d7491

子体：f173f692970a20fa8ca49423d6ad8e89

该起DDoS攻击的样本是通过一个下载者（母体）下载来的（C&C :ddos.m0427.com-> 103.40.102.87），这里下载的是W4.7.exe样本。经分析发现，这个样本仅在收到C&C指令后发起DDoS攻击，其它时间一直处于“休眠状态”，并无其它远控行为。

1. 母体分析

1) 母体是一个下载者，拷贝自身到系统System32目录下，然后调用CreateService创建服务，实现开机自启动。

2) 访问http://103.40.102.87/W4.7.exe下载干活的远控木马，并CreateProcess拉起来。每次都可通过云配置下载不同的干活程序。

2. 子体分析

1) 提升系统权限和关闭UAC通知

2) 调用DnsFlushResolverCache清除DNS缓存，保证解析到最新IP。

3) 在自身后面填充0x2E，使其大小达到三十多MB，以对抗杀软收集样本云。拷贝自身到C:\WINDOWS\WindowsUpdata\ohumykb.exe，文件名是随机的。并且修改注册表创建开机自启动。

4) 调用CreateMutexA创建互斥量，保证只有一个实例运行。

5) 连接C&C 服务器daghfgdgab.lvdp.net ->103.40.102.87。

6) 调用GetVersionExA、GlobalMemoryStatus得到系统版本信息、内在信息和CPU信息。调用send，并通过TCP协议把数据传给C&C。

7) C&C返回的指令说明如下，完成一次DDoS攻击的指令顺序：3 -> 1->4 ->2。

8) 攻击时，构造http包信息，模拟浏览器访问，避免DDoS攻击包被过滤掉。

二、 溯源

从daghfgdgab.lvdp.net域名开始溯源，发现很多私服登陆器，实际上是会释放远控木马，这些私服登陆器通过SNS渠道、游戏外挂网站传播。分析发现，远控木马大部分是gh0st系列和灰鸽子系列，单个样本广度很低，但是样本量很多，粗略估算有几百个远控木马，从域名IP和代码特征，可以确定是同一团伙搞的。

有趣的是被攻击的网站也是一家私服网站，攻击原因不为人知。

1. DDoS攻击样本

C&C:103.40.102.87

6f41f5483da69dd6faf19a58c57d7491

38e451a4adc01f48ba1136d381966954

6355310f2c804fae2b0b97ed4dcd73ff

cd65b0c4a009ef69535199f62dc09e03

0e7ae33f69aceb943b799dd9b1faf774

38e451a4adc01f48ba1136d381966954

0e7ae33f69aceb943b799dd9b1faf774

……

2. gh0st系列远控

C&C : 221.229.160.197,123.56.41.200

8c19d83ff359a1b77cb06939c2e5f0cb   NetSyst96.dll

aa3ad0036b746783b6b0d029f1d3261a  2018登录器.exe 远控木马

d4f3287e5e068c43aaec29dbac583e97  春暖花开–登录器.exe

ccf4f967a0f025ea1da1bfa283760cf1  世外桃源–登录器

411087ce808065022c30610a9bdb656e 问道变态服.exe

……

3. 灰鸽子系列

45a89c140eca4ac38cb8986cfcf341ec

02f0849026bdef8ce8304aa640e73663

966F65D0FA166B3459755AE92690C652

……

4. 发起DDoS攻击的游戏私服网站

5. 被DDoS攻击的游戏私服网站

*本文作者：腾讯电脑管家，转载请注明来自 FreeBuf.COM