安全路透社
当前位置:安全路透社 > 安全客 > 正文

【技术分享】EternalBlue与Trojan[DDoS]/Win32.Nitol.M的“狼狈为奸”

http://p7.qhimg.com/t011178ba40e7700b63.jpg

作者: 安天-捕风:放牛娃

1. 前言


2017年4月被匿名黑客“影子经纪人”公布了第二批NSA武器,其中就包含了"EternalBlue"——MS17-010漏洞,5月中旬该漏洞的自动化利用工具如雨后春笋般在地下黑产出现并迅速传播,目前为止安天捕风监控捕获到的"EternalBlue"自动化利用工具已经已有多套(见图1-1 工具集合),这也证实国外某黑客“NSA工具公布意味着黑客平民化开始”的警告言论。

http://p6.qhimg.com/t01d4aa87beccf5386f.png

图1-1 工具集合

"EternalBlue"自动化工具的出现伊始就已经实现漏洞与各类型病毒结合。从早期监控捕获到的"EternalBlue"与Gh0st远控的为虎作伥实现RAT(Remote Accass Trojan)自动化种植感染,到现在的"EternalBlue"与Nitol.M的狼狈为奸实现DDoS botnet快速自动化拓展“肉鸡”,都警示着:互联网安全形势越发严峻,为互联网安全保驾护航更是任重而道远。


2. 基本信息


http://p0.qhimg.com/t016a46cf14f3e3af90.png

表1-1 样本基本信息

3. 传播方式


2017-08-14 08:41:54,安天-捕风监控到一则木马感染事件(见图3-1 监控捕获数据),并自动获取相关hfs(HTTP Files Server)目录下的样本数据。发现hfs里面还存放有"EternalBlue"自动化利用工具(见图3-2 hfs数据),经过IDA分析x86.dll样本得知利用该工具感染的病毒正是Trojan[DDoS]/Win32.Nitol.M被控端木马(见图3-3 木马下载url地址),即http://***.***.166.83:5999/hw1.exeTrojan[DDoS]/Win32.Nitol.M样本可以通过该工具利用MS17-010漏洞进行自动化“肉鸡”拓展。

http://p7.qhimg.com/t01841c87ef0d8c0372.png

图3-1 监控捕获数据

http://p8.qhimg.com/t011d1162bfed484967.png

图3-2 hfs数据

http://p4.qhimg.com/t01f3ea64288c13f4ab.png

图3-3 木马下载url地址

4. 样本详细分析


因为DDoS botnet的Nitol家族源码早已开源化,所以互联网上出现很多根据源码改进的变种版本,Trojan[DDoS]/Win32.Nitol.M就是其中之一,主要实现DDoS攻击类型有syn flood、udp flood、icmp flood、tcp flood、dns flood、cc flood。

1)样本备份与创建服务

样本运行会通过检查服务名称".Net CLR"(该服务名称是Nitol家族默认服务名称)存在与否来验证样本是否初次运行。见图4-1 检查服务名称:

图4-1 检查服务名称

2)如果服务名不存在,则进行样本备份和创建服务实现样本自启动而长期驻留受害系统。

见图4-2 样本备份及自启动设置:

图4-6  DDoS攻击类型

http://p6.qhimg.com/t0133a06ffdc7f103f1.png

表4-2攻击类型协议表

5. 攻击情报


结合7月21日捕获到的同家族版本进行监控获取的攻击情报中得知,近一个月中共发起579次攻击,185起攻击事件,主要使用攻击类型为syn flood占57.3%,cc flood(http flood)占28.6%,icmp flood占11.9%,tcp flood占2.2%,表4-3 受害者Top30列出被攻击次数top30的部分攻击情报,攻击情报概览见图4-7 Trojan[DDoS]/Win32.Nitol.M攻击情报概览。

表4-3 受害者Top30

http://p0.qhimg.com/t01d65a6ac2ba50d2a6.png

http://p5.qhimg.com/t012089d5ed572fe8fc.png

http://p6.qhimg.com/t014f031ea196e7a51e.png

http://p0.qhimg.com/t01321a39383264ca0e.png

图4-7 Trojan[DDoS]/Win32.Nitol.M攻击情报概览

6. 总结


因为独木难支,所以任何一个botnet家族都不会对互联网形成足够大的威胁,但是如果结合漏洞的自动化利用工具迅速拓展botnet的“肉鸡”量,再加上多个botnet组团攻击将会对互联网造成极大的危害。从安天-捕风监控到的历次高流量攻击事件都是多个botnet家族联合发起攻击。据了解,目前网上流传的“EternalBlue”自动化漏洞利用工具,通过IP网段自动化批量扫描每天仍旧能入侵大量设备并植入病毒,也就侧面说明还有很多设备尚未升级系统及修补漏洞补丁。因此,安天作为国内网络安全尽责的守护者之一,提醒广大同行警惕新型botnet的兴起,同时也提醒广大互联网用户安全、健康上网,安装杀毒、防毒软件(参考1 安天智甲工具)并及时升级系统和修补设备漏洞!

附录:参考资料


参考链接:

http://www.antiy.com/tools.html

MD5:

c7d0827b6224b86f0a90fa42a8d39edd


本文地址:http://bobao.360.cn/learning/detail/4318.html

未经允许不得转载:安全路透社 » 【技术分享】EternalBlue与Trojan[DDoS]/Win32.Nitol.M的“狼狈为奸”

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册