爆破流DDOS团伙ChinaZ的流程记录
说到ChinaZ,首先声明一下这个不是站长之家的名称,鉴于我对于内部技术的敬畏,可以很确定这是一个有名的黑产团伙,一个热衷于利用老漏洞和密码爆破从而投放Xorddos和BillGates的黑产团伙。
相关链接:
http://blog.malwaremustdie.org/2015/01/mmd-0030-2015-new-elf-malware-on.html
http://blog.malwaremustdie.org/2015/08/mmd-0039-2015-chinaz-made-new-malware.html
下面为Intezer的蜜罐抓取的一系列爆破攻击,通过SSHTelnet暴力破解进入后,首先关闭防火墙,然后下载payload,设置权限,然后运行payload.
下载的脚本所处为下面HFS面板
上图面板中的linux样本为billgates变种
PE则为Ghost变种,可见C2一致
通过查询这个域名的历史解析IP,能发现一些被这个组织日过的网站痕迹,比如
一天后,面板又上传了新的样本,为DDosClient家族
RAR里是大灰狼
通过刚刚VT搜到的被动解析IP,可以发现其他的HFS面板
端口扫描工具
通过shodan 找ChinaZ的hfs服务器,规则可以参考
原文intezer还把Nitol远控归为一个组织,然后针对MrBlack,Chinaz,Nitol进行了强关联,然后还很牵扯的扯上了我大铁虎组织,有兴趣可以看原文后面的代码比对。
原话:
ChinaZ正在托管MrBlack的Linux和Windows版本的实例,Windows版本已经显示了与旧版ServStart变体的代码重用连接。此外,我们发现更新版本的ServStart与MrBlack Linux实例一起托管。因此,MrBlack和ServStart演员之间可能存在关系,这表明ChinaZ和Nitol家族之间存在潜在的关系。
此外,ChinaZ Windows组件已被发现感染了Nitol组件,这表明这些参与者可能已经在已经感染过Nitol的服务器中运行。这强制了这两个威胁组之间可能存在更深层关系的假设。ChinaZ一直是一个相对活跃的威胁行动者群体,即使从早期阶段对其整体基础设施进行了很多改变,但其复杂程度正在慢慢发展。为了反映本博客中讨论的最相关的关系,我们决定使用以下图表来呈现它们:
原文链接
https://www.intezer.com/blog-chinaz-relations/
文章来源:黑鸟