黑雀攻击：深度分析并溯源Dofloo僵尸物联网背后的“黑雀”

颁布功夫 2019-05-31

GA黄金甲·(中国区)官方网站

2019年4月起头，GA黄金甲ADLab观察到Confluence远程代码执行缝隙CVE-2019-3396被Dofloo僵尸网络家族用于攻占设备资源，Confluence 是一个专业的企业知识治理与协同软件，常用于构建企业wiki。本次缝隙是由于Confluence Server 和Confluence Data中的Widget Connector存在服务端模板注入缝隙，攻击者机关特定要求可远程遍历服务器肆意文件，甚至实现远程代码执行攻击。有意思的是Dofloo僵尸网络家族不仅起头利用高危缝隙进行攻击，并且其背后的黑客还利用一种更具影响力的“黑雀攻击”来入侵产业链，以掌控越发壮大的网络攻击资源。而在此前，我们已经做了长功夫的与Dofloo僵尸家族黑客产业链有关的钻研，且已经确定了这衷煺遍存在于Dofloo家族中的“黑雀攻击景象”，并对其中的“黑雀”进行了持久追踪与分析。

此处，我们所提出“黑雀攻击”不仅是一种高效的黑客攻击伎俩，并且更是一种产业链级此外攻击步骤，通常为玄色产业链上游黑客所为。黑雀攻击与供给链攻击有异曲同工之妙，只是攻击的指标不是通例的产业链，而是黑客产业链；受攻击链的结尾也不是通常用户，而是极具风险性的黑客群体。在网络安全与黑客产业链的持久匹敌，使得该产业链日渐成熟且复杂，并形成了一个重大的黑客生态系统，而在利益和生计需要的驱策下，黑雀景象似乎造成了必然，甚至在食品链的上端进化出了黑雀生态，如Death僵尸网络的“大黑雀-黑雀-螳螂”。

自GA黄金甲ADLab于2016岁首发现黑雀攻击并于2017年1月颁布《黑雀攻击-揭秘Death僵尸网络背后的终极节造者》之后，还相继在多个恶意代码家族中发现了黑雀攻击，并颁布了深度分析汇报《揭秘Billgates僵尸网络中的黑雀景象》和《黑雀攻击：揭秘TF僵尸物联网黑客背后的黑客》。在此前的黑雀分析和追踪中，我们告发了Death僵尸网络背后的那个节造着上千僵尸子网络的超等黑客，以及深藏在Billgates僵尸网络和物联网僵尸DDoSTF家族背后的黑雀。此表我们还具体论述了每个家族钟装黑雀攻击”的黑客档次结构，如Death僵尸网络的三级黑客结构(大黑雀-黑雀-螳螂)，Billgates和TF的二级黑客结构（黑雀-螳螂），以及对有关的大黑雀、黑雀和螳螂进行了网络行为分析和身份鉴别，并做了精准的黑客画像。

而本文将会具体论述黑雀攻击的最新发现过程，以及Dofloo僵尸网络家族中所存在的“黑雀景象”。通过对家族进行全面的分析还发现，该僵尸家族的作者在造僵尸过程中就留有黑雀的接口，固然少量精明的黑客发现了该接口并进行了断根，但是大部门的黑客成为被攻击对象，被植入了黑雀后门。本文中我们还会对Dofloo僵尸网络背后的黑雀进行深度挖掘和定位，并分析该家族与类似僵尸家族MrBlack、DnsAmp、Flood.A之间的同源个性。

1.Dofloo僵尸家族简介

Dofloo，别名Spike和AES.DDoS，是一款支持ARM、x86、mipsd等多CPU架构的僵尸网络法式。Dofloo家族因2014年针对北美洲和亚洲多个国度进行高达215Gbps流量的攻击而闻名，尔后持久的攻占物联网设备资源并频仍地进行网络攻击活动。凭据赛门铁克在2016年颁布的《Internet Security Thread Report》，Dofloo僵尸网络恶意法式位列2015年度IoT领域恶意法式威胁排行榜第二名。

此表，Dofloo还在2016年9月同Mirai僵尸一路参加了云推算公司OVH的攻击，本次攻击的流量超过了1Tbps，创下了散布式回绝服务攻击的汗青纪录，而同年的10月再次参加了Miarai僵尸主导的对域名服务商Dyn的大规模DDoS攻击，以至整个美国东海岸的网络处于极端瘫痪的状态。2019年的4起头利用最新披露的远程代码执行缝隙CVE-2019-3396进行大面积传布，攻占了相当数量的网络设备。下图是我们凭据Dofloo僵尸网络所执行的比力沉要的攻击事务所绘造的攻击汗青图：

2.发现Dofloo僵尸中的黑雀

在持久的对僵尸网络的钻研中，Dofloo一向是我们监控的对象。在之前的钻研中，通过自动化分析该家族的关联样本，发现该家族的大部门样本城市启动两个新的攻击线程，并发现这两个线程存在异常行为。如：不仅会设置延长启动线程，还会尝试跟另一个C&C节造端进行衔接通讯。因而，我们对这些样本进行了进一步的分析，最终确定该僵尸生态中被植入了黑雀。

针对我们网络到的1200个僵尸样本，绘造样本的上线频度占好比下：

GA黄金甲·(中国区)官方网站

从上图能够看出，有三个地址的上线频度远高于其他的C&C。结合样本分析发现，上线到这三个C&C地址的样本险些都有两个独立节造的C&C，并且僵尸回连这三个C&C地址都是通过创建子线程的方式进行，而其关联的样本的另表一个C&C却是在主线程中进行回连。因而，通过该僵尸的这几个个职能够判定其中注定存在黑雀攻击的景象，而这三个C&C地址就是Dofloo僵尸生态中的黑雀C&C地址，与黑雀C&C地址有关联的其他C&C地址就是Dofloo僵尸生态中螳螂黑客的C&C地址。

GA黄金甲·(中国区)官方网站

我们对这三个黑雀C&C地址有关联的螳螂C&C做了分类统计，如下表所示：

C&C地址	螳螂僵尸网络数量
183.60.149.199	189
118.193.217.144	282
aaa.tfddos.net	85

可见，黑雀C&C 118.193.217.144掌控了最多的螳螂僵尸网络，在尔后的分析中，通过溯源确定了这三个黑雀C&C受统一个黑客节造。

3.Dofloo僵尸黑雀溯源与画像

通过对样本的分析，结合样本中的函数定名习惯、攻击流量特点、变种源码注解以及样本发作传布时用来散播样本的HFS面板说话等特点，我们判定该家族由国内的黑客编写。因而我们溯源指标锁定在国内，通过对黑雀域名“aaa.tfddos.net”中关键信息”tfddos”，我们关联到一款名为“台风DDoS”的僵尸软件。并且通过进一步分析发现，该僵尸软件的模板样本与Dofloo僵尸拥有极为类似的行为和网络个性。此表，“台风DDoS”在黑客间活跃的功夫同Dofloo发作功夫均在2014年。凭据以上一系列的证据证明他们之间存在肯定同源性。为了进一步确认他们为统一款僵尸法式，我们还利用bindiff对“台风DDoS”节造端天生的僵尸与Dofloo的样本进行了类似度比对，发现两者代码类似度为100%的代码占比超过98%，因而能够确定“台风DDoS”就是Dofloo家族的一个主控。对比图如下：

GA黄金甲·(中国区)官方网站

通过对早期的“台风DDoS”的僵尸模板法式分析发现与Dofloo黑雀C&C一样的后门C&C：183.60.149.199。

GA黄金甲·(中国区)官方网站

此表，通过对“台风DDoS”的溯源发现，其曾在网站tfddos.com上作为官方软件被公开售卖，该网站固然选取了与Dofloo黑雀域名“aaa.tfddos.net”不一样的域名，但他们都使用了“tfddos”作为域名的关键字，也即是“tai（台） feng（风） ddos”。因而我们以为后门C&C：183.60.149.199与aaa.tfddos.net为统一黑客或者黑客组织所为。

对于黑雀IP：118.193.217.144的反查发现，在2017年，域名wap.tfddos.net和aaa.tfddos.net与该IP地址进行了持久的绑定。

从以上分析能够看出三个黑雀C&C（183.60.149.199、118.193.217.144、aaa.tfddos.net）实则为统一个黑客或者黑客组织所节造。为了更清澈的描述这些IP和域名之间的联系，总结出关系图如下：

GA黄金甲·(中国区)官方网站

为了追踪Dofloo僵尸网络背后的黑雀，我们先网络了C&C有关的信息并进行了分析。其中通过IP：183.60.149.199关联出来的有关域名大部门被作为色情网站或博彩网站使用，并无可用线索。而tfddos.com和tfddos.net都采取隐衷�；す婊�，无法进前进一步的追忆。

幸运的是我们在“台风DDoS”的售卖汗青纪录中发现一路诓骗事务，事务中一位采办者披露了贩卖人员的QQ号码和支付宝账号。通过进一步分析，我们最后确认了该贩卖人员的QQ就是“台风DDoS”开发者的事实。此表我们还通过该QQ的关联信息网络到该人员有多年黑产从衣氟史：如其从2011年起头编写DDoS软件，并创建“台风工作室”；同时其还从事与DDoS有关的黑产业务，并通过贩卖恶意攻击软件和发起DDoS攻击来谋取犯法收益。而此黑客就是我要溯源的Dofloo僵尸网络背后的黑雀,其除了开发佑装台风DDoS”僵尸软件表，还开发多款DDoS攻击工具如：血腥DDoS、凶残DDoS和暴雨DDoS等。

GA黄金甲·(中国区)官方网站

通过尔后持久的溯源分析，我们还追踪到了该黑雀在现实世界中的身份信息。此黑雀是河南南阳两家科技公司的监事，并且以80万元认缴资金持有其中一家科技公司10%的股份，背地里从事黑产活动。

凭据我们对样本分析和溯源获取到的信息，整顿和综合后，总结并绘造出黑雀的画像如下：

4.Dofloo僵尸典型样本分析

由于Dofloo支持多种CPU架构，我们在对这些平台的样本分析中发现，所有Dofloo支持的架构，都存在黑雀景象。但是僵尸作者对分歧的架构的黑雀C&C处置略有分歧，这对自动化分析也造成了肯定的影响。我们对本次网络的共计1200个样本的架构所占比例进行了统计，绘造成图如下：

CPU架构的散布图，肯定水平上也说了然该家族入侵设备类型的散布，能够看到ARM设备的比例极度高，这也注明ARM下的设备受到黑雀节造的比例比力高。

接下来我们对Dofloo家族的典型样本进行了具体的分解，并且凭据大量样本提取综合出典型的通讯流量和攻击流量特点,并对Dofloo家族进行了同源性分析。

4.1 装置机造

Dofloo僵尸法式的装置机造有：僵尸法式在宿主机的悠久化设置、过程唯一性判断和守护过程设置。

僵尸法式通过写入开机自启号令实现悠久化。僵尸法式在启动后，会首先查抄启动的号令行参数, 若是发现没有参数，那么恶意法式会默认是在该设备的第一次运行,此时会挪用“autoboot”函数。在该函数中，挪用“system”函数执行下表中的号令，以确保恶意法式在该设备沉启后仍可能启动运行。这也是Dofloo恶意法式在宿主设备实现悠久化的唯一步骤。

sed -i -e '/exit/d' /etc/rc.local
sed -i -e '/^\r\n|\r|\n$/d' /etc/rc.local
sed -i -e '/%s/d' /etc/rc.local
sed -i -e '2 i%s/%s' /etc/rc.local
sed -i -e '2 i%s/%s start' /etc/rc.d/rc.local

sed -i -e '2 i%s/%s start' /etc/init.d/boot.local

僵尸法式通过对比系统中运行的过程名来确保运前过程的唯一性，并挪用fork函数创建守护过程。

GA黄金甲·(中国区)官方网站

4.2 上线机造

在装置机造设置结束后，僵尸法式与节造端C&C进行衔接。此时恶意法式会网络被入侵设备的系统信息，并把这些信息作为上线包的内容发送到节造端处。这个上线包的内容蕴含内核版本、CPU频率、总内存大幼、网口带宽以及一些硬编码字符串，好比“VERSONEX”和大量样本中出现的“Hacker”。在黑雀的线程中，其上线机造的主体职能与螳螂线程处的职能类似度极高。分歧的是，黑雀线程会延长15幼时和40分钟上线，这往往会蛊惑分析人员并可能逃避自动化沙箱的检测，使得黑雀C&C隐匿在大量的要求中，削减被发现的可能。通过对大量样本的分析，我们发现上线包的固定大幼为0x400字节，并对上线包体式解析、提取后综合整顿出真实的数据结构，其在内存中的散布如下图所示：

GA黄金甲·(中国区)官方网站

4.3 心跳机造

僵尸法式在SendInfo线程实现了自身的心跳机造。这个线程的重要职能是向螳螂节造端和黑雀节造端发送心跳包，心跳包内容蕴含当前CPU使用率和网络快率信息，通过以下2个步骤获取到这些内容：

（1）查抄“eth0”到“eth9”领域内以太网口的ifconfig信息。并通过读取/proc/net/dev 目录信息来推算网络快率。

（2）通过读取/proc/stat目录下的信息，获取cpu数量，推算占用百分比。

经过指定体式拼接后，会循环不休的发送信息到C&C端。下图为发送的心跳包信息：

比力有趣的是，下游的黑客在发起DDoS攻击的时辰，可能底子不会想到，主控中显示的恶意法式的攻击流量快率险些都是伪造的。我们在SendInfo线程中发现，当恶意法式执行DDoS攻击时，会挪用“fake_net_speed”函数，该函数会凭据分歧的DDoS攻击的模式，在一个固定的领域内伪造攻击流量快率。下图为对部门推算随机流量的截图：

GA黄金甲·(中国区)官方网站

僵尸法式伪造的攻击流量数据领域如下表所示：

GA黄金甲·(中国区)官方网站

4.4 节造指令解析与DDoS攻击

发送完上线包之后，此时僵尸法式会期待接管节造端的节造指令。Dofloo会首先把节造指令包的前四个字节作为模式指令码进行解析，由此来判断接下来要进行的操作，重要支持的操作有三种:

（1）指令码为0x5时，进入CmdShell函数，该函数内部挪用了system函数，可作为远控来下载或执行其他指定数令。
（2）指令码为0x6时，进入DealwithDDoS函数，此函数为DDoS攻击函数，所有执行攻击的判断和逻辑都在此函数中。

（3）指令码为0x7时辰，挪用kill函数，终止过程。

同时Dofloo家族对节造指令进行了128位的AES加密，这个个性大大增长了对其节造指令流量监控和识此外难度。我们对网络到的样本进行分析后发现，所有架构下僵尸法式用来解密的KEY都是一样的，这也注明互联网中Dofloo僵尸家族的样本都来自统一个模版。KEY如下所示：

unsignedcharaes_key[] = { 0x2b, 0x7e, 0x15, 0x16, 0x28, 0xae, 0xd2, 0xa6, 0xab, 0xf7, 0x15, 0x88, 0x9, 0xcf, 0x4f, 0x3c };

我们仿照了未加密的节造指令（除去前4个作为模式指令码的字节）在内存中的布局,其节造指令的各个字段的寓意如下图所示：

GA黄金甲·(中国区)官方网站

当进入到DealwithDDoS函数时，僵尸法式凭据指令，启动分歧的攻击线程。Dofloo家族不仅拥有SYN、HTTP等传统的攻击步骤，还拥有利用UDP和谈的反射放大的攻击方式，好比DNS放大攻击。下图为Dofloo可提议的典型的DDoS攻击的步骤：

GA黄金甲·(中国区)官方网站

并且我们对Dofloo的攻击步骤进行了分析总结，并对部门攻击步骤的流量特点进行了提取，造作流量特点表如下：

GA黄金甲·(中国区)官方网站

我们在分析攻击线程的时辰，发现ARM架构的恶意样本每次攻击创建的攻击线程极度多，单次攻击指令可创建几种甚至十几种分歧类型的攻击线程。结合样本CPU的散布，我们能够得知ARM设备下的Dofloo恶意法式是该僵尸家族的主力，在DDoS攻击中提供了重要的流量支持。

同时凭据监控到Dofloo攻击汗青，发现该家族重要的攻击方式以UDP Flood 为主，近年来黑客也越来越喜欢DNS和NTP等反射放大攻击伎俩来对服务器进前进攻，Dofloo的攻击方式占比也印证了这一点。同时我们也能够看到Layer7层的CC_Flood和Layer4层的TCP_Flood、SYN Flood作为传统的DDoS的攻击方式，其占比也一向较为不变。并且我们凭据有关的谍报数据得知，Dofloo的攻击量相对于其他的家族较少，我们分析揣摩Dofloo每次发起攻击时开启了大量的攻击线程，这样能加大发包量，急剧导致指标服务器宕机。

下图为Dofloo僵尸家族攻击方式占比图：

GA黄金甲·(中国区)官方网站

4.5 同源性分析

我们观察到好多杀毒软件对Dofloo家族法式有分歧的定名方式，甚至鉴别为其他家族的法式，因而为了确定Dofloo家族的源码组成，我们对其进行了同源性分析。

通过对Dofloo僵尸网络进行同源性分析，发现Dofloo僵尸网络家族同Mr.Black僵尸网络家族、Flood.A以及DnsAmp僵尸家族有很高的类似度。首先，我们对Mr.Black家族中的典型样本和Dofloo家族的典型样本进行了对比，发现这两个家族的整体流程和部门代码高度类似，好比下图中的上线机造部门，通过对比能够看到，上线包的内容和体式也极为类似：

GA黄金甲·(中国区)官方网站

并且还能够看到Mr.Black同样有同名的，提议DDoS攻击的函数DealWithDDoS，其提议攻击的节造指令编码也一样。

GA黄金甲·(中国区)官方网站

只不外Mr.Black中仅有5种DDoS攻击方式。通过查阅Mr.Black的源码，发现Mr.Black源码中并没有黑雀后门线程和AES加密，没有远控部门，仅能提议DDoS攻击。因而揣摩Dofloo为参考Mr.Black代码更改后的变种。

而后通过Flood.A同Mr.Black和Dofloo家族进行对比，发现Flood.A家族较Mr.Black家族新增“SynFLood_Message”黑雀后门线程，“DealwithDDoS”函数中增长Layer7层的HTTP洪水攻击，没有AES加密和远控职能，与Mr.Black家族较为类似,部门对比图如下：

GA黄金甲·(中国区)官方网站

在DnsAmp与Dofloo家族的对比中，我们发显熹代码差距较大，但是重要攻击代码以及法式整体设计思路比力类似。在DnsAmp家族中，悠久化依然是通过设置“/etc/rc.d/rc.local”来维持开机自启，并且在启动后同Dofloo一样，会首先确定过程的唯一性。而它的攻击线程“AttackWorker”中，我们发现同Dofloo一样拥有同名的攻击函数“DealwithDDoS”，只不外仅有4种攻击方式，别离为udp，icmp，dnsAmp,syn攻击。固然DnsAmp与Dofloo整体代码类似度不是太高，但是凭据其重要攻击代码和法式整体的设计思路，我们揣摩二者拥有关联性，至少DnsAmp为参考Dofloo代码而产生的类似变种。部门对比图如下：

GA黄金甲·(中国区)官方网站

因而，我们大体能够揣摩出如下的关系：MrBlack可能为原始恶意法式，Flood.A为其变种，重要增长的职能有后门黑雀线程和HTTP洪水攻击；Dofloo可能为Mr.Black或Flood.A的变种，重要新增的个性有法式悠久化设置，节造指令AES加密，以及增长多种DDoS攻击步骤；揣摩DnsAmp为Dofloo的变种，它参考了Dofloo的部门代码和设计思路。我们总结其四者的关系图如下：

5.总结

本篇汇报沉点对Dofloo僵尸网络家族中存在的黑雀景象进行了分析披露，并溯源追踪黑雀，产出黑雀画像。同时对典型的僵尸样本进行了分析，提取综合出上线、心跳、节造指令和提议攻击的流量体式。

同时，通过对黑雀和螳螂的分析，证实了黑雀攻击所存在的潜在巨大风险。只管部门黑客尝试去掉其黑雀线程并沉新传布，但绝大无数的Dofloo僵尸样本依然留有此类后门，也有黑客在确认黑雀IP或域名失效后降低了警惕性，但是我们发现有部门黑雀域名在埋伏一段功夫后，仍会偶然解析上线，对螳螂进行一波收割。所以，综合判断该黑雀僵尸资源丰硕、实力强悍。此表，通过宽泛的分析发现，这种攻击方式还大量存在于其他僵尸法式、WEB Sehll攻击工具及蠕虫木马攻击工具，这或许必要宽大安全钻研人员和安全机构共同注意此类攻击的幕后黑雀，器沉该类威胁可能造成的巨大风险，实时发现并断根隐匿于网络中的一大威胁。

参考文件：

1、DDoS-Capable IoT Malwares: Comparative Analysis and Mirai Investigation

https://www.hindawi.com/journals/scn/2018/7178164/

2、2017 Global botnet DDoS attack threat report

http://www.antiy.net/p/2017-global-botnet-ddos-attack-threat-report

3、Internet Security Threat Report

https://www.insight.com/content/dam/insight-web/en_US/article-images/whitepapers/partner-whitepapers/Internet%20Security%20Threat%20Report.pdf

4、Tango down report of OP China ELF DDoS'er
http://blog.malwaremustdie.org/2014/09/tango-down-report-of-op-china-elf-ddoser.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

黑雀攻击：深度分析并溯源Dofloo僵尸物联网背后的“黑雀”

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线