爆破流DDOS团伙ChinaZ的流程记录

说到ChinaZ，首先声明一下这个不是站长之家的名称，鉴于我对于内部技术的敬畏，可以很确定这是一个有名的黑产团伙，一个热衷于利用老漏洞和密码爆破从而投放Xorddos和BillGates的黑产团伙。

相关链接：

http://blog.malwaremustdie.org/2015/01/mmd-0030-2015-new-elf-malware-on.html

http://blog.malwaremustdie.org/2015/08/mmd-0039-2015-chinaz-made-new-malware.html

下面为Intezer的蜜罐抓取的一系列爆破攻击，通过SSHTelnet暴力破解进入后，首先关闭防火墙，然后下载payload，设置权限，然后运行payload.

下载的脚本所处为下面HFS面板

上图面板中的linux样本为billgates变种

PE则为Ghost变种，可见C2一致

通过查询这个域名的历史解析IP，能发现一些被这个组织日过的网站痕迹，比如

一天后，面板又上传了新的样本，为DDosClient家族

RAR里是大灰狼

通过刚刚VT搜到的被动解析IP，可以发现其他的HFS面板

端口扫描工具

通过shodan 找ChinaZ的hfs服务器，规则可以参考

原文intezer还把Nitol远控归为一个组织，然后针对MrBlack，Chinaz，Nitol进行了强关联，然后还很牵扯的扯上了我大铁虎组织，有兴趣可以看原文后面的代码比对。

原话：

ChinaZ正在托管MrBlack的Linux和Windows版本的实例，Windows版本已经显示了与旧版ServStart变体的代码重用连接。此外，我们发现更新版本的ServStart与MrBlack Linux实例一起托管。因此，MrBlack和ServStart演员之间可能存在关系，这表明ChinaZ和Nitol家族之间存在潜在的关系。

此外，ChinaZ Windows组件已被发现感染了Nitol组件，这表明这些参与者可能已经在已经感染过Nitol的服务器中运行。这强制了这两个威胁组之间可能存在更深层关系的假设。ChinaZ一直是一个相对活跃的威胁行动者群体，即使从早期阶段对其整体基础设施进行了很多改变，但其复杂程度正在慢慢发展。为了反映本博客中讨论的最相关的关系，我们决定使用以下图表来呈现它们：

原文链接

https://www.intezer.com/blog-chinaz-relations/

文章来源：黑鸟