暗云Ⅲ危害——不仅仅是DDoS

摘要

0×00概况

前面对暗云的分析报告中,腾讯电脑管家 安全团队 基本摸清暗云Ⅲ的感染方式和传播方式,也定位到被感染暗云Ⅲ的机器会在启动时从服务端下载任务脚本包——ndn.db文件,且该文件会常进行更换。此外,撰写本文的同时,腾讯电脑管家安全团队也收集到多个不同功能的ndn.db文件,以下对暗云Ⅲ危害展开具体分析。 

0×01 暗云payload行为分析

在解析db文件前,先过一次暗云payload行为:

暗云Ⅲ危害——不仅仅是DDoS

木马每5分钟会联网下载一次配置文件 http://www.acsewle.com:8877/ds/kn.html

暗云Ⅲ危害——不仅仅是DDoS

该html是个配置文件,木马会检查其中的版本号,并保存,其后每次都会比较,以确定是否更新。

暗云Ⅲ危害——不仅仅是DDoS

如果有更新,则下载新版本,并根据配置下载文件执行或者创建svchost.exe傀儡进程执行。

暗云Ⅲ危害——不仅仅是DDoS

木马干活模块lcdn.db其实为lua脚本解析器,主要功能下载任务db,进而解析执行:

暗云Ⅲ危害——不仅仅是DDoS

暗云Ⅲ危害——不仅仅是DDoS

0×02 任务脚本文件结构

通过分析,得知ndn.db的文件结构,大致如下:

struct f_db{ DWORD fileLen; // lua脚本bytecode文件大小 DWORD runType; // 运行类型 char fileName[24]; // lua脚本文件名 char fileData[fileLen]; // lua脚本bytecode内容 }

如下图中,红色框为文件大小,灰色框为运行类型,蓝色框为文件名,紫色框为真实的bytecode内容。

暗云Ⅲ危害——不仅仅是DDoS

根据文件结构,进而可从ndn.db中提取到多个lua脚本的bytecode。

暗云Ⅲ危害——不仅仅是DDoS

0×03 任务脚本功能分类

分析得知,其使用的lua版本为5.3,是自行更改过虚拟机进行编译。使用普通反编译工具反编译后,只能得到部分可读明文,经过分析统计可知道暗云Ⅲ现有发布的功能大致有以下几类:

1、统计类

解密得到的 111tj.lua 脚本,实则为参与攻击机器统计脚本。

暗云Ⅲ危害——不仅仅是DDoS

该脚本主要作用为:每隔五分钟,带Referer: http://www.acsewle.com:8877/um.php 访问cnzz和51.la两个站点统计页面,以便统计参与攻击的机器数及次数。 

统计页面地址为:

http://c.cnzz.com/wapstat.php?siteid=1261687981&r=&rnd=1626837281

http://web.users.51.la/go.asp?svid=15&id=19133499&tpages=1&ttimes=1&tzone=7&tcolor=24&sSize=1802,850&referrer=&vpage=http%3A//www.acsewle.com%3A8877/tj.html&vvtime=1489555372270

访问流量:

暗云Ⅲ危害——不仅仅是DDoS

2、DDoS类

这类脚本,简单粗暴,直接do、while循环,不停地对目标服务发起访问。如下为 dfh01.lua 中代码,其目标是针对大富豪棋牌游戏。

L1_1.get = L4_4 L4_4 = { "182.86.84.236", "119.167.151.218", "27.221.30.113", "119.188.96.111", "113.105.245.107" } while true do url = "http://" .. "web.168dfh.biz" .. "/" L1_1.get(url) url = "http://" .. "web.168dfh.cn" .. "/" L1_1.get(url) url = "http://" .. "web.168dfh.top" .. "/" L1_1.get(url) end

又如, dfhcdn01.lua 中:

while true do

sendlogin("114.215.184.159", 8002)

sendlogin("114.215.169.190", 8005)

sendlogin("114.215.169.97", 8002)

sendlogin("121.41.91.65", 8005)

sendlogin("123.56.152.5", 8000)

sendlogin("121.199.2.34", 8002)

sendlogin("121.199.6.149", 8000)

sendlogin("121.199.15.237", 8002)

sendlogin("101.200.223.210", 17000)

sendlogin("121.199.14.117", 8002)

sendlogin("112.125.120.141", 9000)

sendlogin("123.57.32.93", 9000)

end

再如,在 new59303.lua 中:

暗云Ⅲ危害——不仅仅是DDoS

3、CC攻击类

解密得到的yiwanm001.lua脚本中,包含有各类UserAgent,在发起攻击时,会随机使用这些UserAgent来对目标网站发起访问,此外该脚本还将监测是否跳转到验证码页面,并自动提取Cookie完成访问。

随机UA:

暗云Ⅲ危害——不仅仅是DDoS

获取Cookie:

暗云Ⅲ危害——不仅仅是DDoS

这个脚本攻击的目标为m.yiwan.com。为了精确到指定目标,脚本中还写死了两个服务器ip。

L6_6= "http://139.199.135.131:80/" L7_7= "http://118.89.206.177:80/"

攻击流量截图:

暗云Ⅲ危害——不仅仅是DDoS

又如,攻击脚本jjhm77.lua脚本中,从 http://down.jjhgame.com/ip.txt 获取到ip地址和端口:

暗云Ⅲ危害——不仅仅是DDoS

之后按照目标服务所需的特定格式构造随机数据:

暗云Ⅲ危害——不仅仅是DDoS

循环发送,开始攻击:

暗云Ⅲ危害——不仅仅是DDoS

0×04 危害及建议

暗云自带lua脚本解析器,攻击全程文件不落地,具体需执行任务的db文件也是随时在服务端更新发布,如此增大了杀软查杀难度。坐拥上百万的暗云控制端(数据来自:CNCERT[ http://www.cert.org.cn/publish/main/9/2017/20170612133251896100394/20170612133251896100394_.html ]),已经可以不需要肉鸡无间断发起连接,即可完成大规模的指向性攻击。如此的好处便是在用户无感的情况下,占用用户带宽,完成攻击。 

到目前为止,腾讯反病毒实验室发现的暗云攻击目标大多为各类棋牌、游戏服务器。截止当前,暗云控制端url已自行解析到127.0.0.1,下发url也已失效。但不确定暗云下一次开启时,任务db文件中lua脚本不会是更加恶意的功能。

所以,腾讯电脑管家建议用户积极采取安全防范措施:

1、不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件;

2、定期在不同的存储介质上备份信息系统业务和个人数据。

3、下载腾讯电脑管家进行“暗云”木马程序检测和查杀;

0×05 附录(暗云攻击过的ip地址及URL)

历史攻击过的IP列表:

114.64.222.26 103.254.188.247 114.64.222.27 60.5.254.82 60.5.254.81 60.5.254.47 218.29.50.40 218.29.50.39 60.221.254.229 60.221.254.230 122.143.27.170 182.106.194.83 27.155.73.17 27.155.73.16 125.89.198.29 182.106.194.84 111.47.220.47 111.47.220.46 111.20.250.133 123.128.14.174 106.59.99.46 116.55.236.92 218.5.238.249 106.59.99.47 117.27.241.114 117.27.241.181 14.215.100.76 113.12.84.24 113.12.84.23 14.215.100.75 112.90.213.51 112.90.213.52 58.223.166.19 122.5.53.120 122.5.53.121 58.51.150.40 219.146.68.119 114.80.230.238 114.80.143.223 114.80.230.237 112.25.83.28 120.221.25.169 120.221.24.125 117.148.163.80 112.25.83.29 120.221.24.126 117.148.163.79 182.140.142.40 118.123.97.16 118.123.97.17 220.165.142.221 182.140.142.39 218.76.109.67 222.243.110.83 222.243.110.82 120.221.25.170 113.5.80.249 218.60.109.79 113.5.80.248 218.60.109.80 58.51.150.52 122.246.17.9 120.199.86.132 122.228.30.147 122.228.30.38 122.228.11.175 116.211.144.70 218.11.0.9 118.178.213.63 116.211.168.169 116.31.100.147 116.31.100.3 116.31.100.144 116.31.100.148 116.31.100.170 122.246.17.15 116.211.144.240 116.211.144.129 116.211.144.242 116.211.144.206 116.211.144.238 116.211.144.239 116.211.144.219 114.215.184.159 114.215.169.190 114.215.169.97 121.41.91.65 123.56.152.5 121.199.2.34 121.199.6.149 121.199.15.237 101.200.223.210 121.199.14.117 112.125.120.141 123.57.32.93 182.86.84.236 119.167.151.218 27.221.30.113 119.188.96.111 113.105.245.107 139.224.32.159 139.224.68.202 139.224.35.106 139.196.252.62 139.224.35.175 139.196.252.245 139.224.33.199 139.224.68.48 139.224.35.132 139.196.252.61 139.224.35.188 139.199.135.131 118.89.206.177

历史攻击过的URL列表:

http://senios.138kkk.com http://senand.138kkk.com http://m.yiwan.com http://oss.aliyuncs.com/uu919/api/787go.conf http://oss.aliyuncs.com/uu919/api/787go-socket.conf http://senres.138kkk.com/sen/ios/filelist.lua http://senres.138kkk.com/sen/ios/filelist.lua http://58.51.150.52/sso/ios/filelist.lua http://ssores.u2n0.com/sso/ios/filelist.lua http://pcupdate.game593.com/?f=getLoginIntro&time=%s&key=%s http://senios.uts7.com http://senand.uts7.com http://139.199.135.131:80 http://118.89.206.177:80

0×06 参考文档

[1] 《暗云Ⅲ BootKit 木马分析》

[2] 《暗云Ⅲ木马传播感染分析》

[3]  哈尔滨工业大学 《关于防范暗云木马的通知》

[4]国家互联网应急中心(CNCERT)  《关于“暗云”木马程序有关情况通报》

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

0×00概况

前面对暗云的分析报告中,腾讯电脑管家 安全团队 基本摸清暗云Ⅲ的感染方式和传播方式,也定位到被感染暗云Ⅲ的机器会在启动时从服务端下载任务脚本包——ndn.db文件,且该文件会常进行更换。此外,撰写本文的同时,腾讯电脑管家安全团队也收集到多个不同功能的ndn.db文件,以下对暗云Ⅲ危害展开具体分析。 

0×01 暗云payload行为分析

在解析db文件前,先过一次暗云payload行为:

暗云Ⅲ危害——不仅仅是DDoS

木马每5分钟会联网下载一次配置文件 http://www.acsewle.com:8877/ds/kn.html

暗云Ⅲ危害——不仅仅是DDoS

该html是个配置文件,木马会检查其中的版本号,并保存,其后每次都会比较,以确定是否更新。

暗云Ⅲ危害——不仅仅是DDoS

如果有更新,则下载新版本,并根据配置下载文件执行或者创建svchost.exe傀儡进程执行。

暗云Ⅲ危害——不仅仅是DDoS

木马干活模块lcdn.db其实为lua脚本解析器,主要功能下载任务db,进而解析执行:

暗云Ⅲ危害——不仅仅是DDoS

暗云Ⅲ危害——不仅仅是DDoS

0×02 任务脚本文件结构

通过分析,得知ndn.db的文件结构,大致如下:

struct f_db{ DWORD fileLen; // lua脚本bytecode文件大小 DWORD runType; // 运行类型 char fileName[24]; // lua脚本文件名 char fileData[fileLen]; // lua脚本bytecode内容 }

如下图中,红色框为文件大小,灰色框为运行类型,蓝色框为文件名,紫色框为真实的bytecode内容。

暗云Ⅲ危害——不仅仅是DDoS

根据文件结构,进而可从ndn.db中提取到多个lua脚本的bytecode。

暗云Ⅲ危害——不仅仅是DDoS

0×03 任务脚本功能分类

分析得知,其使用的lua版本为5.3,是自行更改过虚拟机进行编译。使用普通反编译工具反编译后,只能得到部分可读明文,经过分析统计可知道暗云Ⅲ现有发布的功能大致有以下几类:

1、统计类

解密得到的 111tj.lua 脚本,实则为参与攻击机器统计脚本。

暗云Ⅲ危害——不仅仅是DDoS

该脚本主要作用为:每隔五分钟,带Referer: http://www.acsewle.com:8877/um.php 访问cnzz和51.la两个站点统计页面,以便统计参与攻击的机器数及次数。 

统计页面地址为:

http://c.cnzz.com/wapstat.php?siteid=1261687981&r=&rnd=1626837281

http://web.users.51.la/go.asp?svid=15&id=19133499&tpages=1&ttimes=1&tzone=7&tcolor=24&sSize=1802,850&referrer=&vpage=http%3A//www.acsewle.com%3A8877/tj.html&vvtime=1489555372270

访问流量:

暗云Ⅲ危害——不仅仅是DDoS

2、DDoS类

这类脚本,简单粗暴,直接do、while循环,不停地对目标服务发起访问。如下为 dfh01.lua 中代码,其目标是针对大富豪棋牌游戏。

L1_1.get = L4_4 L4_4 = { "182.86.84.236", "119.167.151.218", "27.221.30.113", "119.188.96.111", "113.105.245.107" } while true do url = "http://" .. "web.168dfh.biz" .. "/" L1_1.get(url) url = "http://" .. "web.168dfh.cn" .. "/" L1_1.get(url) url = "http://" .. "web.168dfh.top" .. "/" L1_1.get(url) end

又如, dfhcdn01.lua 中:

while true do

sendlogin("114.215.184.159", 8002)

sendlogin("114.215.169.190", 8005)

sendlogin("114.215.169.97", 8002)

sendlogin("121.41.91.65", 8005)

sendlogin("123.56.152.5", 8000)

sendlogin("121.199.2.34", 8002)

sendlogin("121.199.6.149", 8000)

sendlogin("121.199.15.237", 8002)

sendlogin("101.200.223.210", 17000)

sendlogin("121.199.14.117", 8002)

sendlogin("112.125.120.141", 9000)

sendlogin("123.57.32.93", 9000)

end

再如,在 new59303.lua 中:

暗云Ⅲ危害——不仅仅是DDoS

3、CC攻击类

解密得到的yiwanm001.lua脚本中,包含有各类UserAgent,在发起攻击时,会随机使用这些UserAgent来对目标网站发起访问,此外该脚本还将监测是否跳转到验证码页面,并自动提取Cookie完成访问。

随机UA:

暗云Ⅲ危害——不仅仅是DDoS

获取Cookie:

暗云Ⅲ危害——不仅仅是DDoS

这个脚本攻击的目标为m.yiwan.com。为了精确到指定目标,脚本中还写死了两个服务器ip。

L6_6= "http://139.199.135.131:80/" L7_7= "http://118.89.206.177:80/"

攻击流量截图:

暗云Ⅲ危害——不仅仅是DDoS

又如,攻击脚本jjhm77.lua脚本中,从 http://down.jjhgame.com/ip.txt 获取到ip地址和端口:

暗云Ⅲ危害——不仅仅是DDoS

之后按照目标服务所需的特定格式构造随机数据:

暗云Ⅲ危害——不仅仅是DDoS

循环发送,开始攻击:

暗云Ⅲ危害——不仅仅是DDoS

0×04 危害及建议

暗云自带lua脚本解析器,攻击全程文件不落地,具体需执行任务的db文件也是随时在服务端更新发布,如此增大了杀软查杀难度。坐拥上百万的暗云控制端(数据来自:CNCERT[ http://www.cert.org.cn/publish/main/9/2017/20170612133251896100394/20170612133251896100394_.html ]),已经可以不需要肉鸡无间断发起连接,即可完成大规模的指向性攻击。如此的好处便是在用户无感的情况下,占用用户带宽,完成攻击。 

到目前为止,腾讯反病毒实验室发现的暗云攻击目标大多为各类棋牌、游戏服务器。截止当前,暗云控制端url已自行解析到127.0.0.1,下发url也已失效。但不确定暗云下一次开启时,任务db文件中lua脚本不会是更加恶意的功能。

所以,腾讯电脑管家建议用户积极采取安全防范措施:

1、不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件;

2、定期在不同的存储介质上备份信息系统业务和个人数据。

3、下载腾讯电脑管家进行“暗云”木马程序检测和查杀;

0×05 附录(暗云攻击过的ip地址及URL)

历史攻击过的IP列表:

114.64.222.26 103.254.188.247 114.64.222.27 60.5.254.82 60.5.254.81 60.5.254.47 218.29.50.40 218.29.50.39 60.221.254.229 60.221.254.230 122.143.27.170 182.106.194.83 27.155.73.17 27.155.73.16 125.89.198.29 182.106.194.84 111.47.220.47 111.47.220.46 111.20.250.133 123.128.14.174 106.59.99.46 116.55.236.92 218.5.238.249 106.59.99.47 117.27.241.114 117.27.241.181 14.215.100.76 113.12.84.24 113.12.84.23 14.215.100.75 112.90.213.51 112.90.213.52 58.223.166.19 122.5.53.120 122.5.53.121 58.51.150.40 219.146.68.119 114.80.230.238 114.80.143.223 114.80.230.237 112.25.83.28 120.221.25.169 120.221.24.125 117.148.163.80 112.25.83.29 120.221.24.126 117.148.163.79 182.140.142.40 118.123.97.16 118.123.97.17 220.165.142.221 182.140.142.39 218.76.109.67 222.243.110.83 222.243.110.82 120.221.25.170 113.5.80.249 218.60.109.79 113.5.80.248 218.60.109.80 58.51.150.52 122.246.17.9 120.199.86.132 122.228.30.147 122.228.30.38 122.228.11.175 116.211.144.70 218.11.0.9 118.178.213.63 116.211.168.169 116.31.100.147 116.31.100.3 116.31.100.144 116.31.100.148 116.31.100.170 122.246.17.15 116.211.144.240 116.211.144.129 116.211.144.242 116.211.144.206 116.211.144.238 116.211.144.239 116.211.144.219 114.215.184.159 114.215.169.190 114.215.169.97 121.41.91.65 123.56.152.5 121.199.2.34 121.199.6.149 121.199.15.237 101.200.223.210 121.199.14.117 112.125.120.141 123.57.32.93 182.86.84.236 119.167.151.218 27.221.30.113 119.188.96.111 113.105.245.107 139.224.32.159 139.224.68.202 139.224.35.106 139.196.252.62 139.224.35.175 139.196.252.245 139.224.33.199 139.224.68.48 139.224.35.132 139.196.252.61 139.224.35.188 139.199.135.131 118.89.206.177

历史攻击过的URL列表:

http://senios.138kkk.com http://senand.138kkk.com http://m.yiwan.com http://oss.aliyuncs.com/uu919/api/787go.conf http://oss.aliyuncs.com/uu919/api/787go-socket.conf http://senres.138kkk.com/sen/ios/filelist.lua http://senres.138kkk.com/sen/ios/filelist.lua http://58.51.150.52/sso/ios/filelist.lua http://ssores.u2n0.com/sso/ios/filelist.lua http://pcupdate.game593.com/?f=getLoginIntro&time=%s&key=%s http://senios.uts7.com http://senand.uts7.com http://139.199.135.131:80 http://118.89.206.177:80

0×06 参考文档

[1] 《暗云Ⅲ BootKit 木马分析》

[2] 《暗云Ⅲ木马传播感染分析》

[3]  哈尔滨工业大学 《关于防范暗云木马的通知》

[4]国家互联网应急中心(CNCERT)  《关于“暗云”木马程序有关情况通报》

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: