一起游戏私服同行发起的DDoS攻击:样本分析与溯源
8月中旬,腾讯电脑管家反病毒实验室发现023155.cn(222.186.129.87)正遭遇大量DDoS攻击。安全人员通过溯源,捕获到上百个DDoS攻击样本,并第一时间实现全部查杀。有趣的是,发起攻击者和被攻击者都是游戏私服网站,攻击原因未知。下文详细分析这些攻击样本如何发起DDoS攻击,并溯源其样本源头和传播渠道。
一、 样本分析
母体:6f41f5483da69dd6faf19a58c57d7491
子体:f173f692970a20fa8ca49423d6ad8e89
该起DDoS攻击的样本是通过一个下载者(母体)下载来的(C&C :ddos.m0427.com-> 103.40.102.87),这里下载的是W4.7.exe样本。经分析发现,这个样本仅在收到C&C指令后发起DDoS攻击,其它时间一直处于“休眠状态”,并无其它远控行为。
1. 母体分析
1) 母体是一个下载者,拷贝自身到系统System32目录下,然后调用CreateService创建服务,实现开机自启动。
2) 访问http://103.40.102.87/W4.7.exe下载干活的远控木马,并CreateProcess拉起来。每次都可通过云配置下载不同的干活程序。
2. 子体分析
1) 提升系统权限和关闭UAC通知
2) 调用DnsFlushResolverCache清除DNS缓存,保证解析到最新IP。
3) 在自身后面填充0x2E,使其大小达到三十多MB,以对抗杀软收集样本云。拷贝自身到C:\WINDOWS\WindowsUpdata\ohumykb.exe,文件名是随机的。并且修改注册表创建开机自启动。
4) 调用CreateMutexA创建互斥量,保证只有一个实例运行。
5) 连接C&C 服务器daghfgdgab.lvdp.net ->103.40.102.87。
6) 调用GetVersionExA、GlobalMemoryStatus得到系统版本信息、内在信息和CPU信息。调用send,并通过TCP协议把数据传给C&C。
7) C&C返回的指令说明如下,完成一次DDoS攻击的指令顺序:3 -> 1->4 ->2。
< color: rgb(0, 0, 0);”>指令 | < color: rgb(0, 0, 0);”>说明 |
---|---|
< color: rgb(0, 0, 0);”>1 | < color: rgb(0, 0, 0);”>读< color: rgb(0, 0, 0);”>Config.ini< color: rgb(0, 0, 0);”>设置攻击参数 |
< color: rgb(0, 0, 0);”>2 | < color: rgb(0, 0, 0);”>停止退出 |
< color: rgb(0, 0, 0);”>3 | < color: rgb(0, 0, 0);”>写< color: rgb(0, 0, 0);”>Config.ini< color: rgb(0, 0, 0);”>配置文件,包括攻击目标域名信息 |
< color: rgb(0, 0, 0);”>4 | < color: rgb(0, 0, 0);”>发起< color: rgb(0, 0, 0);”>DDoS< color: rgb(0, 0, 0);”>攻击 |
8) 攻击时,构造http包信息,模拟浏览器访问,避免DDoS攻击包被过滤掉。
二、 溯源
从daghfgdgab.lvdp.net域名开始溯源,发现很多私服登陆器,实际上是会释放远控木马,这些私服登陆器通过SNS渠道、游戏外挂网站传播。分析发现,远控木马大部分是gh0st系列和灰鸽子系列,单个样本广度很低,但是样本量很多,粗略估算有几百个远控木马,从域名IP和代码特征,可以确定是同一团伙搞的。
有趣的是被攻击的网站也是一家私服网站,攻击原因不为人知。
1. DDoS攻击样本
C&C:103.40.102.87
6f41f5483da69dd6faf19a58c57d7491
38e451a4adc01f48ba1136d381966954
6355310f2c804fae2b0b97ed4dcd73ff
cd65b0c4a009ef69535199f62dc09e03
0e7ae33f69aceb943b799dd9b1faf774
38e451a4adc01f48ba1136d381966954
0e7ae33f69aceb943b799dd9b1faf774
……
2. gh0st系列远控
C&C : 221.229.160.197,123.56.41.200
8c19d83ff359a1b77cb06939c2e5f0cb NetSyst96.dll
aa3ad0036b746783b6b0d029f1d3261a 2018登录器.exe 远控木马
d4f3287e5e068c43aaec29dbac583e97 春暖花开–登录器.exe
ccf4f967a0f025ea1da1bfa283760cf1 世外桃源–登录器
411087ce808065022c30610a9bdb656e 问道变态服.exe
……
3. 灰鸽子系列
45a89c140eca4ac38cb8986cfcf341ec
02f0849026bdef8ce8304aa640e73663
966F65D0FA166B3459755AE92690C652
……
4. 发起DDoS攻击的游戏私服网站
5. 被DDoS攻击的游戏私服网站
*本文作者:腾讯电脑管家,转载请注明来自 FreeBuf.COM