黑雀攻击：深度剖析并溯源Dofloo僵尸物联网背后的“黑雀”

宣布时间 2019-05-31

优发国际·随优而动一触即发

2019年4月最先，优发国际网站官网ADLab视察到Confluence远程代码执行误差CVE-2019-3396被Dofloo僵尸网络家族用于攻占装备资源，Confluence 是一个专业的企业知识治理与协同软件，常用于构建企业wiki。本次误差是由于Confluence Server 和Confluence Data中的Widget Connector保存服务端模板注入误差，攻击者结构特定请求可远程遍历服务器恣意文件，甚至实现远程代码执行攻击。有意思的是Dofloo僵尸网络家族不但最先使用高危误差举行攻击，并且其背后的黑客还使用一种更具影响力的“黑雀攻击”来入侵工业链，以掌控越发强盛的网络攻击资源。而在此前，我们已经做了长时间的与Dofloo僵尸家族黑客工业链相关的研究，且已经确定了这种普遍保存于Dofloo家族中的“黑雀攻击征象”，并对其中的“黑雀”举行了恒久追踪与剖析。

此处，我们所提出“黑雀攻击”不但是一种高效的黑客攻击手段，并且更是一种工业链级别的攻击要领，一样平常为玄色工业链上游黑客所为。黑雀攻击与供应链攻击有异曲同工之妙，只是攻击的目的不是通例的工业链，而是黑客工业链；受攻击链的最后也不是通俗用户，而是极具危害性的黑客群体。在网络清静与黑客工业链的恒久对抗，使得该工业链日渐成熟且重大，并形成了一个重大的黑客生态系统，而在利益和生涯需求的驱使下，黑雀征象似乎酿成了一定，甚至在食物链的上端进化出了黑雀生态，如Death僵尸网络的“大黑雀-黑雀-螳螂”。

自优发国际网站官网ADLab于2016年头发明黑雀攻击并于2017年1月宣布《黑雀攻击-揭秘Death僵尸网络背后的最终控制者》之后，还相继在多个恶意代码家族中发明了黑雀攻击，并宣布了深度剖析报告《揭秘Billgates僵尸网络中的黑雀征象》和《黑雀攻击：揭秘TF僵尸物联网黑客背后的黑客》。在此前的黑雀剖析和追踪中，我们揭破了Death僵尸网络背后的谁人控制着上千僵尸子网络的超等黑客，以及深藏在Billgates僵尸网络和物联网僵尸DDoSTF家族背后的黑雀。别的我们还详细叙述了每个家族中“黑雀攻击”的黑客条理结构，如Death僵尸网络的三级黑客结构(大黑雀-黑雀-螳螂)，Billgates和TF的二级黑客结构（黑雀-螳螂），以及对相关的大黑雀、黑雀和螳螂举行了网络行为剖析和身份识别，并做了精准的黑客画像。

而本文将会详细叙述黑雀攻击的最新发明历程，以及Dofloo僵尸网络家族中所保存的“黑雀征象”。通过对家族举行周全的剖析还发明，该僵尸家族的作者在制僵尸历程中就留有黑雀的接口，虽然少量精明的黑客发明了该接口并举行了扫除，可是大部分的黑客成为被攻击工具，被植入了黑雀后门。本文中我们还会对Dofloo僵尸网络背后的黑雀举行深度挖掘和定位，并剖析该家族与相似僵尸家族MrBlack、DnsAmp、Flood.A之间的同源特征。

1.Dofloo僵尸家族简介

Dofloo，又名Spike和AES.DDoS，是一款支持ARM、x86、mipsd等多CPU架构的僵尸网络程序。Dofloo家族因2014年针对北美洲和亚洲多个国家举行高达215Gbps流量的攻击而着名，以后恒久的攻占物联网装备资源并频仍地举行网络攻击运动。凭证赛门铁克在2016年宣布的《Internet Security Thread Report》，Dofloo僵尸网络恶意程序位列2015年度IoT领域恶意程序威胁排行榜第二名。

别的，Dofloo还在2016年9月同Mirai僵尸一起加入了云盘算公司OVH的攻击，本次攻击的流量凌驾了1Tbps，创下了漫衍式拒绝服务攻击的历史纪录，而同年的10月再次加入了Miarai僵尸主导的对域名服务商Dyn的大规模DDoS攻击，致使整个美国东海岸的网络处于极端瘫痪的状态。2019年的4最先使用最新披露的远程代码执行误差CVE-2019-3396举行大面积撒播，攻占了相当数目的网络装备。下图是我们凭证Dofloo僵尸网络所实验的较量主要的攻击事务所绘制的攻击历史图：

2.发明Dofloo僵尸中的黑雀

在恒久的对僵尸网络的研究中，Dofloo一直是我们监控的工具。在之前的研究中，通过自动化剖析该家族的关联样本，发明该家族的大部分样本都会启动两个新的攻击线程，并发明这两个线程保存异常行为。如：不但会设置延迟启动线程，还会实验跟另一个C&C控制端举行毗连通讯。因此，我们对这些样本举行了进一步的剖析，最终确定该僵尸生态中被植入了黑雀。

针对我们网络到的1200个僵尸样本，绘制样本的上线频度占好比下：

优发国际·随优而动一触即发

从上图可以看出，有三个地点的上线频度远高于其他的C&C。团结样天职析发明，上线到这三个C&C地点的样本险些都有两个自力控制的C&C，并且僵尸回连这三个C&C地点都是通过建设子线程的方法举行，而其关联的样本的另外一个C&C却是在主线程中举行回连。因此，通过该僵尸的这几个特征可以断定其中一定保存黑雀攻击的征象，而这三个C&C地点即是Dofloo僵尸生态中的黑雀C&C地点，与黑雀C&C地点相关联的其他C&C地点即是Dofloo僵尸生态中螳螂黑客的C&C地点。

优发国际·随优而动一触即发

我们对这三个黑雀C&C地点相关联的螳螂C&C做了分类统计，如下表所示：

C&C地点	螳螂僵尸网络数目
183.60.149.199	189
118.193.217.144	282
aaa.tfddos.net	85

可见，黑雀C&C 118.193.217.144掌控了最多的螳螂僵尸网络，在以后的剖析中，通过溯源确定了这三个黑雀C&C受统一个黑客控制。

3.Dofloo僵尸黑雀溯源与画像

通过对样本的剖析，团结样本中的函数命名习惯、攻击流量特征、变种源码注释以及样本爆发撒播时用来散播样本的HFS面板语言等特征，我们判断该家族由海内的黑客编写。于是我们溯源目的锁定在海内，通过对黑雀域名“aaa.tfddos.net”中要害信息”tfddos”，我们关联到一款名为“台风DDoS”的僵尸软件。并且通过进一步剖析发明，该僵尸软件的模板样本与Dofloo僵尸具有极为相似的行为和网络特征。别的，“台风DDoS”在黑客间活跃的时间同Dofloo爆发时间均在2014年。凭证以上一系列的证据证实他们之间保存一定同源性。为了进一步确认他们为统一款僵尸程序，我们还使用bindiff对“台风DDoS”控制端天生的僵尸与Dofloo的样本举行了相似度比对，发明两者代码相似度为100%的代码占比凌驾98%，因此可以确定“台风DDoS”即是Dofloo家族的一个主控。比照图如下：

优发国际·随优而动一触即发

通过对早期的“台风DDoS”的僵尸模板程序剖析发明与Dofloo黑雀C&C相同的后门C&C：183.60.149.199。

优发国际·随优而动一触即发

别的，通过对“台风DDoS”的溯源发明，其曾在网站tfddos.com上作为官方软件被果真售卖，该网站虽然接纳了与Dofloo黑雀域名“aaa.tfddos.net”纷歧样的域名，但他们都使用了“tfddos”作为域名的要害字，也即是“tai（台） feng（风） ddos”。因而我们以为后门C&C：183.60.149.199与aaa.tfddos.net为统一黑客或者黑客组织所为。

关于黑雀IP：118.193.217.144的反查发明，在2017年，域名wap.tfddos.net和aaa.tfddos.net与该IP地点举行了恒久的绑定。

从以上剖析可以看出三个黑雀C&C（183.60.149.199、118.193.217.144、aaa.tfddos.net）实则为统一个黑客或者黑客组织所控制。为了更清晰的形貌这些IP和域名之间的联系，总结出关系图如下：

优发国际·随优而动一触即发

为了追踪Dofloo僵尸网络背后的黑雀，我们先网络了C&C相关的信息并举行了剖析。其中通过IP：183.60.149.199关联出来的相关域名大部分被作为色情网站或博彩网站使用，并无可用线索。而tfddos.com和tfddos.net都接纳隐私�；ぜ苹�，无法举行进一步的追溯。

幸运的是我们在“台风DDoS”的售卖历史纪录中发明一起诓骗事务，事务中一位购置者披露了销售职员的QQ号码和支付宝账号。通过进一步剖析，我们最后确认了该销售职员的QQ即是“台风DDoS”开发者的事实。别的我们还通过该QQ的关联信息网络到该职员有多年黑产从业历史：如其从2011年最先编写DDoS软件，并建设“台风事情室”；同时其还从事与DDoS相关的黑工营业，并通过销售恶意攻击软件和发动DDoS攻击来谋取不法收益。而此黑客即是我要溯源的Dofloo僵尸网络背后的黑雀,其除了开发有“台风DDoS”僵尸软件外，还开发多款DDoS攻击工具如：血腥DDoS、残酷DDoS和暴雨DDoS等。

优发国际·随优而动一触即发

通过以后恒久的溯源剖析，我们还追踪到了该黑雀在现实天下中的身份信息。此黑雀是河南南阳两家科技公司的监事，并且以80万元认缴资金持有其中一家科技公司10%的股份，背地里从事黑产运动。

依据我们对样天职析和溯源获取到的信息，整理和归纳后，总结并绘制出黑雀的画像如下：

4.Dofloo僵尸典范样天职析

由于Dofloo支持多种CPU架构，我们在对这些平台的样天职析中发明，所有Dofloo支持的架构，都保存黑雀征象。可是僵尸作者对差别的架构的黑雀C&C处置惩罚略有差别，这对自动化剖析也造成了一定的影响。我们对本次网络的共计1200个样本的架构所占比例举行了统计，绘制成图如下：

CPU架构的漫衍图，一定水平上也说明晰该家族入侵装备类型的漫衍，可以看到ARM装备的比例很是高，这也说明ARM下的装备受到黑雀控制的比例较量高。

接下来我们对Dofloo家族的典范样本举行了详细的剖析，并且凭证大宗样本提取归纳出典范的通讯流量和攻击流量特征,并对Dofloo家族举行了同源性剖析。

4.1 装置机制

Dofloo僵尸程序的装置机制有：僵尸程序在宿主机的长期化设置、历程唯一性判断和守护历程设置。

僵尸程序通过写入开机自启下令实现长期化。僵尸程序在启动后，会首先检查启动的下令行参数, 若是发明没有参数，那么恶意程序会默认是在该装备的第一次运行,此时会挪用“autoboot”函数。在该函数中，挪用“system”函数执行下表中的下令，以确保恶意程序在该装备重启后仍能够启动运行。这也是Dofloo恶意程序在宿主装备实现长期化的唯一要领。

sed -i -e '/exit/d' /etc/rc.local
sed -i -e '/^\r\n|\r|\n$/d' /etc/rc.local
sed -i -e '/%s/d' /etc/rc.local
sed -i -e '2 i%s/%s' /etc/rc.local
sed -i -e '2 i%s/%s start' /etc/rc.d/rc.local

sed -i -e '2 i%s/%s start' /etc/init.d/boot.local

僵尸程序通过比照系统中运行的历程名来确保运行历程的唯一性，并挪用fork函数建设守护历程。

优发国际·随优而动一触即发

4.2 上线机制

在装置机制设置完毕后，僵尸程序与控制端C&C举行毗连。此时恶意程序会网络被入侵装备的系统信息，并把这些信息作为上线包的内容发送到控制端处。这个上线包的内容包括内核版本、CPU频率、总内存巨细、网口带宽以及一些硬编码字符串，好比“VERSONEX”和大宗样本中泛起的“Hacker”。在黑雀的线程中，其上线机制的主体功效与螳螂线程处的功效相似度极高。差别的是，黑雀线程会延迟15小时和40分钟上线，这往往会疑惑剖析职员并可能逃避自动化沙箱的检测，使得黑雀C&C隐匿在大宗的请求中，镌汰被发明的可能。通过对大宗样本的剖析，我们发明上线包的牢靠巨细为0x400字节，并对上线包名堂剖析、提取后归纳整理出真实的数据结构，其在内存中的漫衍如下图所示：

优发国际·随优而动一触即发

4.3 心跳机制

僵尸程序在SendInfo线程实现了自身的心跳机制。这个线程的主要功效是向螳螂控制端和黑雀控制端发送心跳包，心跳包内容包括目今CPU使用率和网络速率信息，通过以下2个办法获取到这些内容：

（1）检查“eth0”到“eth9”规模内以太网口的ifconfig信息。并通过读取/proc/net/dev 目录信息来盘算网络速率。

（2）通过读取/proc/stat目录下的信息，获取cpu数目，盘算占用百分比。

经由指命名堂拼接后，会循环一直的发送信息到C&C端。下图为发送的心跳包信息：

较量有趣的是，下游的黑客在发动DDoS攻击的时间，可能基础不会想到，主控中显示的恶意程序的攻击流量速率险些都是伪造的。我们在SendInfo线程中发明，当恶意程序执行DDoS攻击时，会挪用“fake_net_speed”函数，该函数会凭证差别的DDoS攻击的模式，在一个牢靠的规模内伪造攻击流量速率。下图为对部分盘算随机流量的截图：

优发国际·随优而动一触即发

僵尸程序伪造的攻击流量数据规模如下表所示：

优发国际·随优而动一触即发

4.4 控制指令剖析与DDoS攻击

发送完上线包之后，此时僵尸程序会期待吸收控制端的控制指令。Dofloo会首先把控制指令包的前四个字节作为模式指令码举行剖析，由此来判断接下来要举行的操作，主要支持的操作有三种:

（1）指令码为0x5时，进入CmdShell函数，该函数内部挪用了system函数，可作为远控来下载或执行其他指定命令。
（2）指令码为0x6时，进入DealwithDDoS函数，此函数为DDoS攻击函数，所有执行攻击的判断和逻辑都在此函数中。

（3）指令码为0x7时间，挪用kill函数，终止历程。

同时Dofloo家族对控制指令举行了128位的AES加密，这个特征大大增添了对其控制指令流量监控和识别的难度。我们对网络到的样本举行剖析后发明，所有架构下僵尸程序用来解密的KEY都是相同的，这也说明互联网中Dofloo僵尸家族的样本都来自统一个模版。KEY如下所示：

unsignedcharaes_key[] = { 0x2b, 0x7e, 0x15, 0x16, 0x28, 0xae, 0xd2, 0xa6, 0xab, 0xf7, 0x15, 0x88, 0x9, 0xcf, 0x4f, 0x3c };

我们模拟了未加密的控制指令（除去前4个作为模式指令码的字节）在内存中的结构,其控制指令的各个字段的寄义如下图所示：

优发国际·随优而动一触即发

当进入到DealwithDDoS函数时，僵尸程序凭证指令，启动差别的攻击线程。Dofloo家族不但具有SYN、HTTP等古板的攻击要领，还具有使用UDP协议的反射放大的攻击方法，好比DNS放大攻击。下图为Dofloo可提倡的典范的DDoS攻击的要领：

优发国际·随优而动一触即发

并且我们对Dofloo的攻击要领举行了剖析总结，并对部分攻击要领的流量特征举行了提取，制作流量特征表如下：

优发国际·随优而动一触即发

我们在剖析攻击线程的时间，发明ARM架构的恶意样本每次攻击建设的攻击线程很是多，单次攻击指令可建设几种甚至十几种差别类型的攻击线程。团结样本CPU的漫衍，我们可以得知ARM装备下的Dofloo恶意程序是该僵尸家族的主力，在DDoS攻击中提供了主要的流量支持。

同时凭证监控到Dofloo攻击历史，发明该家族主要的攻击方法以UDP Flood 为主，近年来黑客也越来越喜欢DNS和NTP等反射放大攻击手段来对服务器举行攻击，Dofloo的攻击方法占比也印证了这一点。同时我们也可以看到Layer7层的CC_Flood和Layer4层的TCP_Flood、SYN Flood作为古板的DDoS的攻击方法，其占比也一直较为稳固。并且我们凭证相关的情报数据得知，Dofloo的攻击量相关于其他的家族较少，我们剖析推测Dofloo每次发动攻击时开启了大宗的攻击线程，这样能加大发包量，快速导致目的服务器宕机。

下图为Dofloo僵尸家族攻击方法占比图：

优发国际·随优而动一触即发

4.5 同源性剖析

我们视察到许多杀毒软件对Dofloo家族程序有差别的命名方法，甚至识别为其他家族的程序，因此为了确定Dofloo家族的源码组成，我们对其举行了同源性剖析。

通过对Dofloo僵尸网络举行同源性剖析，发明Dofloo僵尸网络家族同Mr.Black僵尸网络家族、Flood.A以及DnsAmp僵尸家族有很高的相似度。首先，我们对Mr.Black家族中的典范样本和Dofloo家族的典范样本举行了比照，发明这两个家族的整体流程和部分代码高度相似，好比下图中的上线机制部分，通过比照可以看到，上线包的内容和名堂也极为相似：

优发国际·随优而动一触即发

并且还可以看到Mr.Black同样有同名的，提倡DDoS攻击的函数DealWithDDoS，其提倡攻击的控制指令编码也相同。

优发国际·随优而动一触即发

只不过Mr.Black中仅有5种DDoS攻击方法。通过查阅Mr.Black的源码，发明Mr.Black源码中并没有黑雀后门线程和AES加密，没有远控部分，仅能提倡DDoS攻击。因此推测Dofloo为参考Mr.Black代码更改后的变种。

然后通过Flood.A同Mr.Black和Dofloo家族举行比照，发明Flood.A家族较Mr.Black家族新增“SynFLood_Message”黑雀后门线程，“DealwithDDoS”函数中增添Layer7层的HTTP洪水攻击，没有AES加密和远控功效，与Mr.Black家族较为相似,部分比照图如下：

优发国际·随优而动一触即发

在DnsAmp与Dofloo家族的比照中，我们发明其代码差别较大，可是主要攻击代码以及程序整体设计思绪较量相似。在DnsAmp家族中，长期化仍然是通过设置“/etc/rc.d/rc.local”来坚持开机自启，并且在启动后同Dofloo一样，会首先确定历程的唯一性。而它的攻击线程“AttackWorker”中，我们发明同Dofloo一样具有同名的攻击函数“DealwithDDoS”，只不过仅有4种攻击方法，划分为udp，icmp，dnsAmp,syn攻击。虽然DnsAmp与Dofloo整体代码相似度不是太高，可是凭证其主要攻击代码和程序整体的设计思绪，我们推测二者具有关联性，至少DnsAmp为参考Dofloo代码而爆发的相似变种。部分比照图如下：

优发国际·随优而动一触即发

因此，我们大致可以推测出如下的关系：MrBlack可能为原始恶意程序，Flood.A为其变种，主要增添的功效有后门黑雀线程和HTTP洪水攻击；Dofloo可能为Mr.Black或Flood.A的变种，主要新增的特征有程序长期化设置，控制指令AES加密，以及添加多种DDoS攻击要领；推测DnsAmp为Dofloo的变种，它参考了Dofloo的部分代码和设计思绪。我们总结其四者的关系图如下：

5.总结

本篇报告重点对Dofloo僵尸网络家族中保存的黑雀征象举行了剖析披露，并溯源追踪黑雀，产出黑雀画像。同时对典范的僵尸样本举行了剖析，提取归纳出上线、心跳、控制指令和提倡攻击的流量名堂。

同时，通过对黑雀和螳螂的剖析，证实了黑雀攻击所保存的潜在重大危害。只管部分黑客实验去掉其黑雀线程并重新撒播，但绝大大都的Dofloo僵尸样本仍然留有此类后门，也有黑客在确认黑雀IP或域名失效后降低了小心性，可是我们发明有部分黑雀域名在潜在一段时间后，仍会无意剖析上线，对螳螂举行一波收割。以是，综合判断该黑雀僵尸资源富厚、实力强悍。别的，通过普遍的剖析发明，这种攻击方法还大宗保存于其他僵尸程序、WEB Sehll攻击工具及蠕虫木马攻击工具，这或许需要宽大清静研究职员和清静机构配合注重此类攻击的幕后黑雀，重视该类威胁可能造成的重大危害，实时发明并扫除隐匿于网络中的一大威胁。

参考文献：

1、DDoS-Capable IoT Malwares: Comparative Analysis and Mirai Investigation

https://www.hindawi.com/journals/scn/2018/7178164/

2、2017 Global botnet DDoS attack threat report

http://www.antiy.net/p/2017-global-botnet-ddos-attack-threat-report

3、Internet Security Threat Report

https://www.insight.com/content/dam/insight-web/en_US/article-images/whitepapers/partner-whitepapers/Internet%20Security%20Threat%20Report.pdf

4、Tango down report of OP China ELF DDoS'er
http://blog.malwaremustdie.org/2014/09/tango-down-report-of-op-china-elf-ddoser.html

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

黑雀攻击：深度剖析并溯源Dofloo僵尸物联网背后的“黑雀”

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

服务热线