查看原文
其他

透视全球 XorDDoS 攻击基础设施

Avenger FreeBuf安全咨询 2024-01-02

作者 | Avenger

编 | zhuo

最近,研究人员分析了 XorDDoS 僵尸网络的新行动,发现了大量 C&C 基础设施。与 2022 年的攻击行动进行比较,唯一的区别就是 C&C 服务器的配置。尽管域名未变,但攻击者已经将基础设施迁移到合法主机托管服务。

尽管很多安全厂商已经将 C&C 的域名列入黑名单,但仍然有流量流向这些恶意 IP。研究人员发现,仅 2023 年 8 月就有一千余个 XorDDoS 的 C&C 流量。


 | Linux XorDDoS 僵尸网络 |


XorDDoS 会感染 Linux 设备并加入僵尸网络,攻击者可以控制这些设备实现恶意意图,例如进行 DDoS 攻击。研究人员跟踪的攻击行动从 2023 年 7 月 28 日开始,7 月 31 日到 8 月 5 日进入活跃期。经过几天的静默后,在 8 月 12 日激增式传播超过 30 个不同的恶意样本。

每日传播去重恶意样本数如下所示:

木马演化趋势


 | 受害者扫描与失陷主机上线 |


攻击者在发起攻击前通常会进行扫描,利用 HTTP 请求识别目标存在的漏洞。例如目录遍历漏洞,攻击者可以直接访问服务器中的任意文件。

多台失陷主机都接收到了对 /etc/passwd 文件的扫描请求,这些请求都发生在攻击之前,后续会进行 C&C 通联。

下图中蓝色是对失陷主机的扫描请求,红色为后续生成的 C&C 流量。最初的三天中,每天都会收到超过 1000 次扫描探测请求。后扫描量急剧下降,最终消失,最后生成稳定的 C&C 流量。

扫描与 C&C 流量

攻击者通过泄露的文件获取用户名,然后通过 SSH 暴力破解获取初始访问权限,入侵后下载植入恶意软件。


 | 恶意软件行为分析 |


XorDDoS 会使用异或加密密钥(BB2FA36AAA9541F0)加密相关数据,如下所示为 XorDDoS 调用解密函数检索硬编码字符串。

字符串解密

成功植入后,木马首先会收集失陷主机的基本信息。例如 MAGIC String 为 32 字节长的标识符,用于标识唯一身份。还包括 /var/run/gcc.pid 中的数据、操作系统版本、恶意软件版本、内存状态与 CPU 信息。

随后,攻击者计算相关数据的 CRC 校验码再使用异或加密密钥进行加密。如下所示,C&C 服务器会使用 CRC 校验码检测通信时发生的错误。

失陷主机相关信息

下图为窃取数据的 C&C 流量:

C&C 流量

C&C 域名硬编码在恶意软件中,XorDDoS 调用 crypto_remotestr() 函数将域名解密,如下所示:

ppp.gggatat456[.]com:53
ppp.xxxatat456[.]com:53
p5.dddgata789[.]com:53
P5.lpjulidny7[.]com:53

C&C 域名解密

恶意软件利用 8.8.8.8 与 8.8.4.4 解析 C&C 域名对应的 IP 地址,建立连接并等待攻击者的命令:

C&C 域名解析

一旦与 C&C 服务器建立连接,攻击者就能够向客户端发送命令,如下所示:

命令描述
2
停止
3
发起 DDoS 攻击
6
从远程服务器下载文件
7
上传本地文件到远程服务器
8
回传系统信息
9
获取配置文件


 | 持久化 |


XorDDoS 通过多种方式进行持久化,通过定时任务每三分钟触发一次恶意软件执行,并配置系统启动时自动执行。

为逃避检测,攻击者将进程转变为独立于当前用户会话运行的后台服务,这样可以避免用户发出进程终止信号并将自己伪装成合法进程。

执行时 XorDDoS 会释放 ELF 可执行文件,以此进行自我复制。这些样本文件高度相似,但并不完全相同。2022 年 12 月至 2023 年 8 月,失陷主机中发现了超过 26000 个此类样本。

失陷主机分布在各个行业中:

  • 半导体
  • 电信
  • 运输
  • 金融
  • 保险
  • 零售

 | C&C 攻击基础设施 |


入侵失陷主机后,攻击者通过 C&C 命令控制僵尸网络。研究人员发现,攻击者注册这些恶意域名并获利已有数年之久。

恶意域名的持有者在 2022 年也策划了另一场大规模攻击行动,如下所示:

2022 年活动趋势

攻击者在 2022 年 2 月、3 月与 8 月进行了大范围攻击,攻击方式和手段与 2023 年类似,只在攻击基础设施存在差别。

查看对 C&C 域名的请求时,发现攻击者切换了恶意域名的 IP 地址,如下所示:

域名请求趋势

8 月 8 日前,请求量仍然较低。8 月 8 日至 18 日期间,恶意软件活动明显增强,每天约有两万余次请求。从 8 月 19 日到 22 日,请求量增长了 22 倍以上。8 月 20 日出现了明显的峰值,当日请求次数突破了 96 万。

C&C 域名的解析情况如下所示:


尽管许多安全厂商已经将该 C&C 域名列入黑名单,但 IP 地址并未列入黑名单。XorDDoS 的攻击基础设施如下所示,2023 年的攻击活动位于左侧,2022 年的攻击活动位于右侧。

攻击基础设施


 | 攻击流量分布 |


2023 年 7 月至 8 月期间,攻击者成功入侵了 21 个国家/地区的失陷主机。很大一部分攻击流量集中在非洲、南亚与东南亚,占比超过 77%。

攻击流量分布


 | 结论 |


XorDDoS 在 2023 年 7 月到 8 月间进行了大规模传播,该僵尸网络攻击 Linux 设备并控制其发起 DDoS 攻击。攻击者仍然使用旧的 C&C 域名,也将服务器迁移到了新的 IP 地址上。

精彩推荐


继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存