作者:金山雲安珀實驗室
從2017年中“永恆之藍”勒索病毒席捲全球,到2018年初的“英特爾CPU漏洞事件”大爆發,近年來,隨着網絡技術水平的不斷提升,以“雲物移大智”等為代表的新興技術得到廣泛應用,新產業新模式層出不窮,帶來了全新的商業化圖景,但隨之而來的日益嚴重的信息安全問題,也讓人們對網絡安全愈發關注與重視。
近日,金山雲安珀實驗室成功破獲一起利用大規模殭屍網絡進行大流量DDoS攻擊的有組織活動,經深入調查后發現,該組織掌握的肉雞最多高達75萬台,通過層層加密隱匿攻擊源頭,在幕後對企業、機構發動針對性的大規模DDoS攻擊,進而謀取不正當利益。
安珀實驗室監控到網絡流量突發異常后,第一時間進行分析排查,確定異常流量來自某幾台被控制的雲主機,正在在對外發起大流量的DDoS攻擊,深入調查后發現,這些雲主機屬於某殭屍網絡控制的肉雞,最後順藤摸瓜,成功追蹤到攻擊源。下面詳細介紹分析過程。
1. 入侵分析
首先,根據事發主機的流量特徵,在金山雲分佈式蜜網平台中找到了被植入同一木馬的系統,然後提取了蜜罐中發起DDoS攻擊的木馬程序,名稱為libudev.so。並通過流量監控,獲得了該木馬連接的C&C控制端IP:203.12..。
隨後從該樣本中提取出三個C&C控制端服務器的域名:
baidu.gd***.com
pcdown.gd***.com
soft8.gd***.com其中一個域名pcdown.gd***.com沒有解析記錄,可以判斷是備用域名。另外兩個域名解析到某一台香港服務器上,IP正是前文提到的C&C控制端IP:203.12..。
通過搜索根域名gd***.com的威脅情報數據,發現該根域名註冊於2015年,域名擁有者對該域名的Whois信息進行了隱匿。通過對歷史數據的查詢,找到一個早期註冊該域名的郵箱:145612****@***.com
转载请注明:IAMCOOL » 千里追蹤75萬台“肉雞”控制源