阅读: 42
一、概述
本报告为僵尸网络团伙报告系列的第三篇,将披露“落叶飞花”僵尸网络犯罪团伙的活动情况。我们对该团伙的关注由来已久,2022年1月初,伏影实验室全球威胁狩猎系统捕获到一批Go语言开发的Mediocre(又称kaiji)家族木马。该僵尸网络木马大量函数使用汉语拼音方式命名,主要功能为发起DDoS攻击。我们在研究过程中发现,Mediocre Botnet的C&C域名与我们历史记录的多个恶意软件家族有关。由此顺藤摸瓜关联分析,一个长期潜藏在我们身边的僵尸网络犯罪团伙浮出水面。
鉴于该团伙多次使用“luoyefeihua.site”作为其服务器基础设施,伏影实验室将该团伙命名为“落叶飞花”。监测数据显示,该团伙于2018年开始活跃起来,发展早期主要通过QQ,论坛等社交媒介出售DDoS攻击工具的方式获利,后期业务趋于多元化。该团伙运营的恶意软件家族中XorDDoS传播量最广,Nitol和DoFloo下发指令最为频繁,而Mediocre Botnet则体现了该团伙原创能力。本文将从该组织资产信息、攻击活动以及组织溯源等方面展开。
二、“落叶飞花”团伙
2.1 组织概述
“落叶飞花”组织曾利用各种社交平台不断拓展其攻击面,因此在互联网上留下了线索,根据域名信息,我们对该组织的历史事件进行了深度溯源。
在社交网络,我们能看到因受到欺骗而大倒苦水的帖子。在某游戏辅助论坛中,就有受害者表示自己的网站遭到QQ名为“落叶飞花”的攻击者的入侵,并在联系对方时被试图诱骗安装所谓的封IP软件,实际是远控木马,会连接luoyefeihua.site。而另一例将矛头指向名为落叶飞花的工作室。第一事件中出现了Mediocre Botnet的C&C域名,而两例事件中的“落叶飞花”恰对应了“luoyefeihua”拼音,揭示了其中的关联。
图2.1 网络上关于“落叶飞花”相关信息
可见,该组织将社交账号作为黑灰产业务的直接联系方式,侧面说明了其行为早已常态化。不过,考虑到黑灰产圈内的激烈竞争,不排除社交平台上充斥着大量冒充该组织的行为。
而号码导航网曝光的诈骗信息则指明该组织的业务之一便是出售DDOS攻击工具,证明了其是一个长期利用网络攻击而获利的团伙。
图2.2 “落叶飞花”售卖相关信息
同时,有人曾对相关信息做过类似溯源,但不排除经营人员已经易手的情况。
图2.3 网络上对“落叶飞花”溯源
僵尸网络运营者通过各种渠道扩大知名度已成为一种趋势,这有利于快速变现,例如,KekSec组织就曾通过多种网络社交平台售卖其DDoS工具。当然,也不排除另一种可能,黑客组织成名后形成了聚集效应,出现大量假冒相应组织的现象,这有利于隐匿攻击者真实身份。 “落叶飞花”组织同样存在类似的现象,曾经部署过专门售卖DDoS攻击工具的平台网站(现已失联)。下图为号码导航网中曝光该组织的平台和QQ群截图。
图2.4 “落叶飞花”网站
图2.5 “落叶飞花”QQ群
而使用互联网搜索引擎,同样可以得到与落叶飞花相关的DDoS工具信息。
图2.6 “落叶飞花”浏览器搜索信息
图2.7 “落叶飞花”网络信息
2.2 团伙资产及攻击事件梳理
- 资产梳理
表2.1 “落叶飞花”团伙资产信息
2.3 攻击指令监控
该团伙所运营僵尸网络所发起的攻击频率并不高,但C&C存活时间较长,以该组织运营的Nitol所配置C&C(luoyefeihua.site:6060)为例,该C&C从2020年2月19日至2022年2月27日一直有指令下发,存活时间达两年之久,在所发起的DDoS攻击活动中攻击方式以HTTP flood最多,占比达百分之八十三,其次为TCP Flood,占比为百分之十二,其他各种DDoS攻击方式共计百分之五。
图2.8 “落叶飞花”攻击方式占比
该团伙攻击目标以国内为主,欧美地区也有波及,监测数据显示,国内受害者中江苏为重灾区,山东,北京,香港等地也有受到影响。
图2.9 “落叶飞花”攻击目标占比
另外,由于中小型网站安全防护建设薄弱,也自然成为该团伙攻击的首选目标。与此同时,该团伙还习惯于攻陷一些小型网站用来存放恶意文件,使用频度较高的站点整理如下:
表2.2 “落叶飞花”恶意文件存放站点
| http[:]//122.51.183.12:1234[/]server.exe |
| http[:]//222.187.223.23:32222[/]DDosServer.exe |
| http[:]//222.186.3.90:8080[/]server.exe |
| http[:]//222.187.223.23:32222[/]God%20Controls%20The.exe |
| http[:]//154.209.239.201:2323[/]1.exe |
| http[:]//118.25.97.170[/]Sandy.exe |
| http[:]//154.209.239.254:45555[/]DDosServer.exe |
| http[:]://222.186.138.135:1[/]Server.exe |
| http[:]//222.186.138.135:1[/]Sandy.exe |
| http[:]//222.186.138.135:1[/]DDosServer.exe |
| http[:]//58.218.66.201:81[/]apr.exe |
| http[:]//58.218.66.201:82[/]ver.exe |
| http[:]//154.209.236.172:32222[/]saqd.exe |
| http[:]//58.218.66.201:82[/]erver.exe |
| http[:]//154.209.236.172:32222[/]saqd.exe |
| http[:]//193.218.38.152:8888[/]server.exe |
该团伙习惯于在僵尸网络构建的初期下发大量测试性质的攻击指令,比如其运营的DoFloo木马的控制服务器为193.218.38.152:48080,该C&C早期的解析域名同样为我们熟悉的“luoyefeihua.site”。监测数据显示,该控制端仅在2020年7月10号 21时前后采用UDP Flood的方式下发了针对单一目标的六十余条DDoS攻击指令,随后便匆匆关闭。
图2.10 “落叶飞花”攻击指令
2.4 样本分析
伏影实验室从恶意文件侧出发对”落叶飞花”组织进行更为深入的研究。研究发现,该组织运营着多个平台的恶意软件家族,DDoS攻击与窃密活动并存。所运营恶意软件既有知名度高的僵尸网络家族,也有小众化个新鲜明的攻击工具。特点整理如下:
所运营僵尸网络木马检测难度大
该组织所运营着XorDDoS,Dofloo类常见的僵尸网络木马,仅对代码中的C&C做了修改,除了从域名关联到木马的归属外,很难从样本侧的其它特征把它们从已知家族中区分出来,但这类木马传播最广,所发起的攻击事件也最多,我们早在2020年有监测到该组织运营的Nitol恶意软件使用“luoyefeihua.site”作为控制服务器发起过DDoS攻击活动,而这一活动一直延续到2022年2月底。
图2.11 “落叶飞花”攻击指令
原创型僵尸网络木马倾向于使用Go语言构建
除了采用已知常见DDoS家族构建自己的攻击网络,该组织还尝试运营原创型DDoS僵尸网络木马,并更倾向于采用Go语言进行编写,比如大范围散播的Mediocre Botnet(aka. Kaiji)及其多个变种。该木马的Go语言版本相对偏老,从侧面反映出攻击者或具备长时间的Go语言开发经验。由于受到黑色产业链的支持,该家族一直有人维护,其变种相对于原版Mediocre而言,在DDoS功能及持久化等方面均有较大变化,其核心模块改动对比如下:
图2.12 Mediocre 核心模块改动对比
辨识度高的C&C命名习惯
该团伙所运营僵尸网络的C&C命名具有相似的风格,多次使用汉语拼音或含义明确的命名,识别度高,比如“luoyefeihua”汉语名“落叶飞花”,再如“linuxddos.net”,即“针对linux平台的ddos”。两者之间的关联如下:
图2.13 “落叶飞花”各C&C间关联
恶意软件中出现大量中文字符
该组织所使用的多个工具包含中文字符,以及汉语拼音。
图2.14 Mediocre Botnet中汉语信息
如在一个名为“Landdos软件破解版”的二进制文件中存在中文界面,会释放gh0st,连接luoyefeihua.site.
图2.15 Landdos界面
另一个名为“IP代理攻击资源存活”的工具具备同样的特征。
图2.16 “落叶飞花”DDoS工具界面
三、总结
“落叶飞花”僵尸网络犯罪团伙从2018年至今已发展成为一个控制着十余类僵尸网络家族,自研能力较高的团伙。他们不断地开发各式各样的网络攻击工具,既包含了Windows及IoT平台常见的的DDoS家族也有各种窃密软件,除了修改开源代码来构建僵尸网络,该团伙也尝试过采用Go语言来构建全新架构的木马,其运营模式也经历了多次转变,攻击活动愈发频繁。此外,他们对所运营C&C基础设施端口替换的频率极高,对稳定监测受感染机器规模带了一定挑战。该团伙的样本传播量以及攻击活动的频繁程度都令我们感到震惊,已对网络空间造成了极大的威胁,伏影实验室将持续监控该团伙的新动向。
四、IOC
| 家族 | hash | 说明 |
| Mediocre Botnet Botnet | 1fe7517c70e7eeb17c0f3e0e28cfd119
bf1f2c1d58828327c0ada9f6392d17da |
Mediocre Botnet
连接域名:luoyefeihua.site 文件类型:ELF 捕获时间:2022年1月初 |
| DnsAmp | ffe2bfe0aeea7e9eebe47371228c5a58 | DnsAmp
连接域名:luoyefeihua.site 文件类型:PE 捕获时间:2020-02-08 |
| Gh0st | db48f18019a2435aaa6c932501bb8bee2bcd60fe66a690b0a2e45cab71434244 | Gh0st
连接域名:luoyefeihua.site 文件类型:PE 捕获时间:2021-11-15 20:37:05 |
| GrayWare/Win32.FlyStudio.a | cab7C&C7b0a00e88d6055747195546c4b | FlyStudio
连接域名:luoyefeihua.site 捕获时间:2020-12-16 |
| Generic.BlackMoon | 9e6c1a6933bc5ffe619e2aa4e56fab5d
b0d75ff5fd001f1dda7c0095e689bf2c 98702eaea742d9eb2135a11c34c4b39d 969a90c0ea4a4f3b7ce646e67755bdbb 46613796c074176ed447e21fe2dcffa5 6fd0e3544dbf085b6b12ab41bb82729a 2c64cedc5240e0692a82d9772a0c0b69 |
BlackMoon
连接域名:luoyefeihua.site 捕获时间:2021年初,有过多次版本更新 |
| [email protected] | d72af7e6777b0d15ba59c1dc34fa734c | Dropper.RA
连接域名:luoyefeihua.site 捕获时间: 2021-12-22 |
| Parite | 83fadb37e45c3e38ca05253972be02a7 | Parite
连接域名:luoyefeihua.site 文件类型:PE 捕获时间: 2020-09-08 |
|
Injuke |
661361f41a9eedC&Cef924ee9e30fc794 | Injuke
连接域名:luoyefeihua.site 捕获时间: 2020-02-18 |
| ServStart | bef9e60b26338c53165114a0f3dC&Cb78 | ServStart
连接域名:luoyefeihua.site 捕获时间: 2020-02-15 |
| ELF:XorDDoS-AD | 0869246df768eebad75afdbc4c456ad6
13728bf5f3af6cf5aC&C91be4e59defc8 7d7a382ea213abf7fe10d4f6eedb98d5 15c98dac5fd0edf862dc398f16dfe205 1189a9d6cff6558453e02b5babC&C9e88 152f5ec1de66351d0fa28f440C&Ce8e5c 17d3ad1b05989d7589cb253905b6933d 24913df946b35eff9f8567b162858391 37f749f002c65dabd339317d353e5672 8f02c413613856627845e9db31f0d7fa d4c94faac41737f1e16bd3baa318b086 ef5c1834e2b8452a6e4b099d64d18e72 1c89d946caa7600f434b3c7259788255 9d30d8113e0ac6e31b7963128441f4a3 bca0c94f9009ed1b348e829d7fbbaacf 3c45d1166685e69c6255d04531c02022 5106645247a00e217d85f7938819cd81 8a0d5ca068ff259cbba7495a0fb78876 e5c0ef5b149C&Cceff4f9ae693a67C&C75 ee209f077340d64eaeabd8719a11e7fd 63f166dee9C&Cfc7c5eec0d57b857719d 6cf2eae021e0cbeb56df7a98c9354697 81833814108eebC&Cd25b3bfc15aa2dbe 87c4e5f08c5ef4e3c88b926f4e5e248f b87eec1c1118ca80f501c82323adacd9 e331ae17e32beb86fbaf819951a0f598 21a9a152faa1ff216321e0505952bc38 344bb899cfdbd4210b716a0e401e2630 10e0d09d95e9938e109f2926c66f2106 205def6c9b050b0395b78594cde838af 2069a0574c533db1579e7454a3b099c9 34e87a37f96ad2d18c3d43922b482aee 4b8a86fc92818558c7d97272f1c80199 a5f95a15da519cea6bf538a166759eea c65f20147377898524748e83398d9fc7 d389b0fdaad58224375a7785a518fe00 243dd9fc68aaa0f485695823a0fb4699 dfff6302faa41f78a5be123cfe5f274b e63564d82c57ed5f4406ff0e8dd07581 61610722243c7565f34547a87e43306b a1c9f0e73379cbcebc3201e6b158dC&Cd aae5664ba639b7621913135d89930943 53ab4cf3d3796c7841c0a778a5ffa35a 243dd9fc68aaa0f485695823a0fb4699 607e3160504047e072c45603133fc06c e8f3f8cbf173703ea65d430c68c93ac1 ad6f52d27e203bd5c5ea7fcf7e66102b 51fb8b8c5627e36a5a4ae0314dc78249 4c4fc1575329e7566811d741755487e5 f38ee6692cbafca1C&Cff9206d99db8e6 822b8d0ee754f5defdbb08dfa85e0340 90c50bc69d7ade5c7cff8a6b5186f942 5e57023ca87826cd875aaef28c009721 88b2f7a5b197fa6f8f9fd220b099de1e 1411e08bfc8e20580e5d38540ca5f690 6bf8534a92729707790cfb3d115d4e94 fd6d7431bc31fadb85ffb174bac3a192 15e1c1eb4862633a55740bfed306fe5b 13c5545832b9d08a185d8514e98dc4ac a5e092d6b97ba6752ac1293decda1295 40a4830496396c78bbca3e7ea2be8fd3 2a71314b2b21c6293dde74621118b6C&C 891f1392751e0fb3bf983920f3b5785e |
XorDDoS变种
连接域名:luoyefeihua.site 捕获时间: 大量出现于2021年12月份,至今仍十分活跃。 |
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。