 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
优质肉鸡规模健康养殖示范小区建设项目可行性商业计划书
下载积分：5000
内容提示：优质肉鸡规模健康养殖示范小区建设项目可行性商业计划书
文档格式：DOC|
浏览次数：0|
上传日期： 02:39:14|
文档星级：
该用户还上传了这些文档
优质肉鸡规模健康养殖示范小区建设项目可行性商业计划书
官方公共微信DDoS攻击组织肉鸡美眉分析 - 网络安全 - 红黑联盟
DDoS攻击组织肉鸡美眉分析
一、&&&&&&&&概要
2014年，安天实验室ShadowHunter团队分析发现了一个恶意代码，其创建的系统互斥量的名字为&Chicken_Mutex_MM&，故命名其为&肉鸡美眉&。该样本的主要功能是收集服务器基本信息并进行DDoS攻击。经过关联分析，我们发现其衍生变种还具有跨平台能力，主要包括Windows和Linux系统两个版本，而Windows版本样本最早在2009年12月就已出现。&肉鸡美眉&开发者采用了SVN协作开发，跨越5年持续演进，随着Linux服务器在国内不断增加且Windows系统受到诸多限制，从事DDoS的也从Windows转向Linux，被攻击的Linux服务器大幅增加。同时由于Linux服务器的带宽优势和长期在线的特点使DDoS攻击的威力更加增强。
该样本的某些变种在之前的报道中也有提及，但是大部分报道只介绍了其中的某个变种，并没有能够全面、深入地讲述该组织的来龙去脉，而本文则将为大家逐一揭晓。
1.1&&&&&&&&&组织运作概览
&肉鸡美眉&组织截至目前已经持续运作了超过4年的时间，主要进行DDoS工具的开发和销售。据判断，该组织至少有两名开发者，其中开发者&小陈&（昵称）应该是开发主力，在多个版本的变种中均有其昵称出现，而开发者&毛毛&（昵称）应该是副手。软件开发后通过搭建黑客等方式进行地下传播，主要是销售给国内的私服技术维护人员，以及通过DDoS攻击进行敲诈的黑客，同时还有部分破解版本被传播出去。
1.2&&&&&&&&&肉鸡MM演化变种
目前安天实验室截获到的Windows变种主要有4类，分别为Chicken、rjshell、svchost和IntergrateCHK，通过编译时间我们可以看到样本变种的时间演化关系（参见图2）。从2009年12月开始出现Windows版本；2012年10月和2013年11月的版本在传播上有两个高峰；2013年4月开始出现Linux版本，并支持32位和64位；在2013年末开始较大范围攻击Linux，&其Linux版本变种主要以端口号区分，包括1、3以及M4（参见图3）。目前监测到的活跃被控端主要是Linux机器。
二、&&&&&&&&恶意代码分析
2.1&&&&&&&&&恶意代码组成
2.1.1&&&&&&&&&&生成器
在样本库中检测到该生成器，由于该样本与众不同，通过其界面我们发现是Windows版生成器，生成器的编译时间是日&23点57分0秒，默认生成的端口是6009，生成的变种为IntergrateCHK。
同样简洁的是Linux生成器，其中生成的Linux变种是UDP洪水DDoS攻击的变种xudp，该变种出现在亚马逊EC2的服务器上，并出现在国内多个Linux系统上。
2.1.2&&&&&&&&&&控制端
通过控制端我们可以看到监控机器的列表，包含被控端的机器名、操作系统、CPU和网络速度信息。具有半连接、SYN洪水、UDP洪水攻击功能，同时还具有批量伪造功能。
2.1.3&&&&&&&&&&被控端
l&&Chicken变种
Windows被控端Chicken变种经过自动分析运行后，它将创建Chicken_mutex_mm互斥量，释放c:\mm.ini配置文件，该文件主要用于保存伪造IP和端口的配置文件，获取CPU信息，并发起DNS请求，同时向控制端发送机器相关信息。
其字符串分析见表1：
表&1变种字符串
Chicken_Mutex_MM
Chicken_mm互斥量
\Chicken\Release\Chicken.pdb
L:\SVN2\trunk\
HARDWARE\DESCRIPTION\System\CentralProcessor\0
HARDWARE\DESCRIPTION\System\CentralProcessor\%d
获取CPU信息
\Processor(%d)\%% Processor Time
PdhGetFormattedCounterValue
用于查询单个核心CPU使用率
JanFebMarAprMayJunJulAugSepOctNovDec
SunMonTueWedThuFriSat
Windows NT
Windows 2000
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows Server 2008 R2
Windows 32s
Windows Unknown
系统版本信息匹配
IntergrateCHK变种
Windows被控端的IntergrateCHK变种运行后，会释放伪造端口IP的配置文件fake.cfg,而Chicken变种释放的伪造配置文件是mm.ini，而两者的内容格式是相同的。
第一行：0&是一个攻击标志位，0表示停止，1表示开始攻击；
第二行：192.168.50.132:192.168.50.132&是局域网伪造包的IP地址范围；
第三行：是伪造包端口范围；
svchost x64变种
l&&Linux版本变种
Linux被控端使用C++编写，具有提取信息上报，并接收指令等待攻击的功能，最新版还有DNS放大攻击的能力，部分Linux的被控端也会释放fake.cfg配置文件。Linux变种被控端样本22D0FACF2FFB1B20C1D536A经过&安天追影自动化分析系统&，发现其样本具有获取系统网卡、CPU、内存信息，释放ELF文件以及访问域名，反向连接等操作。
2.2&&&&&&&&&恶意代码同源分析
根据字符串、调试信息、配置文件、配置格式、路径等信息，我们可以找到变种样本之间的同源关系，通过这些信息可以将控制端、Windows版本变种以及Linux版本变种关联起来，同时也可以把控制端1、58000、M4以及Windows版被控端、Linux版被控端都关联起来。
2.3&&&&&&&&&开发者信息
通过样本中包含的调试信息中的路径&SVN\trunk&，我们可以推测出该DDoS工具的开发者是采用SVN进行共享代码编写的。同时在调试路径中有一些显示乱码，经分析发现是开发者的中文昵称&小陈&，&毛毛&，并且在中文昵称后面有&反向&，&被控&等中文，指明所开发的组件代码是反向连接被控端。
其中乱码部分采用的是URL编码，经过解码如下：
经判断，其主要利用搭建的方式销售攻击软件：
三、&&&&&&&&网络控制和感染情况
攻击者使用的域名和控制IP：
fymy.8800.org
kk.netbot.cc&& 70.39.77.126
yqv.3322.org& 115.221.42.158
lindashuaiddos.f3322.org& 222.186.52.153
192.161.177.203
98.126.193.143
61.153.104.230
198.148.92.100
syn.netbot.cc
DNS jj94.3322.org& 42.51.4.216
ttlatale.3322.org&
aaa.swhk.net
199.36.72.222
四、&&&&&&&&总结
随着Linux服务器的占比越来越高，DDoS攻击的肉鸡已经从Windows转向Linux，除了用于Web的服务器外，包括智能摄像头、NVR等Linux系统也逐渐成为攻击目标。一、&&&&&&&&概要2014年，安天实验室ShadowHunter团队分析发现了一个恶意代码，其创建的系统互斥量的名字为&Chicken_Mutex_MM&，故命名其为&肉鸡美眉&。该样本的主要功能是收集基本信息并进行DDoS攻击。经过关联分析，我们发现其衍生变种还具有跨平台能力，主要包括和系统两个版本，而版本样本最早在2009年12月就已出现。&肉鸡美眉&开发者采用了SVN协作开发，跨越5年持续演进，随着在国内不断增加且Windows系统受到诸多限制，从事DDoS的黑客也从Windows转向Linux，被攻击的Linux服务器大幅增加。同时由于Linux服务器的带宽优势和长期在线的特点使DDoS攻击的威力更加增强。该样本的某些变种在之前的报道中也有提及，但是大部分报道只介绍了其中的某个变种，并没有能够全面、深入地讲述该组织的来龙去脉，而本文则将为大家逐一揭晓。1.1&&&&&&&&&组织运作概览&肉鸡美眉&组织截至目前已经持续运作了超过4年的时间，主要进行DDoS工具的开发和销售。据判断，该组织至少有两名开发者，其中开发者&小陈&（昵称）应该是开发主力，在多个版本的变种中均有其昵称出现，而开发者&毛毛&（昵称）应该是副手。开发后通过搭建黑客论坛等方式进行地下传播，主要是销售给国内的私服技术维护人员，以及通过DDoS攻击进行敲诈的黑客，同时还有部分破解版本被传播出去。&1.2&&&&&&&&&肉鸡MM演化变种目前安天实验室截获到的Windows变种主要有4类，分别为Chicken、rjshell、svchost和IntergrateCHK，通过编译时间我们可以看到样本变种的时间演化关系（参见图2）。从2009年12月开始出现Windows版本；2012年10月和2013年11月的版本在传播上有两个高峰；2013年4月开始出现Linux版本，并支持32位和64位；在2013年末开始较大范围攻击Linux，&其Linux版本变种主要以端口号区分，包括1、3以及M4（参见图3）。目前监测到的活跃被控端主要是Linux机器。二、&&&&&&&&恶意代码分析2.1&&&&&&&&&恶意代码组成2.1.1&&&&&&&&&&生成器在样本库中检测到该生成器，由于该样本与众不同，通过其界面我们发现是Windows版生成器，生成器的编译时间是日&23点57分0秒，默认生成的端口是6009，生成的变种为IntergrateCHK。&同样简洁的是Linux生成器，其中生成的Linux变种是UDP洪水DDoS攻击的变种xudp，该变种出现在亚马逊EC2的服务器上，并出现在国内多个Linux系统上。&2.1.2&&&&&&&&&&控制端通过控制端我们可以看到监控机器的列表，包含被控端的机器名、操作系统、CPU和网络速度信息。具有半连接、SYN洪水、UDP洪水攻击功能，同时还具有批量伪造功能。&2.1.3&&&&&&&&&&被控端l&&Chicken变种Windows被控端Chicken变种经过自动分析运行后，它将创建Chicken_mutex_mm互斥量，释放c:\mm.ini配置文件，该文件主要用于保存伪造IP和端口的配置文件，获取CPU信息，并发起DNS请求，同时向控制端发送机器相关信息。&其字符串分析见表1：表&1变种字符串
字符串 说明
Chicken_Mutex_MM Chicken_mm互斥量
\Chicken\Release\Chicken.pdb PDB信息
L:\SVN2\trunk\ PDB路径
HARDWARE\DESCRIPTION\System\CentralProcessor\0 HARDWARE\DESCRIPTION\System\CentralProcessor\%d 获取CPU信息
\Processor(%d)\%% Processor Time PdhGetFormattedCounterValue 用于查询单个核心CPU使用率
JanFebMarAprMayJunJulAugSepOctNovDec SunMonTueWedThuFriSat 日期信息
Windows NT Windows 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 32s Windows Unknown 系统版本信息匹配 IntergrateCHK变种Windows被控端的IntergrateCHK变种运行后，会释放伪造端口IP的配置文件fake.cfg,而Chicken变种释放的伪造配置文件是mm.ini，而两者的内容格式是相同的。第一行：0&是一个攻击标志位，0表示停止，1表示开始攻击；第二行：192.168.50.132:192.168.50.132&是局域网伪造包的IP地址范围；第三行：是伪造包端口范围；&svchost x64变种&l&&Linux版本变种Linux被控端使用C++编写，具有提取信息上报，并接收指令等待攻击的功能，最新版还有DNS放大攻击的能力，部分Linux的被控端也会释放fake.cfg配置文件。Linux变种被控端样本22D0FACF2FFB1B20C1D536A经过&安天追影自动化分析系统&，发现其样本具有获取系统网卡、CPU、内存信息，释放ELF文件以及访问域名，反向连接等操作。&&2.2&&&&&&&&&恶意代码同源分析根据字符串、调试信息、配置文件、配置格式、路径等信息，我们可以找到变种样本之间的同源关系，通过这些信息可以将控制端、Windows版本变种以及Linux版本变种关联起来，同时也可以把控制端1、58000、M4以及Windows版被控端、Linux版被控端都关联起来。&2.3&&&&&&&&&开发者信息通过样本中包含的调试信息中的路径&SVN\trunk&，我们可以推测出该DDoS工具的开发者是采用SVN进行共享代码编写的。同时在调试路径中有一些显示乱码，经分析发现是开发者的中文昵称&小陈&，&毛毛&，并且在中文昵称后面有&反向&，&被控&等中文，指明所开发的组件代码是反向连接被控端。&其中乱码部分采用的是URL编码，经过解码如下：&经判断，其主要利用搭建黑客论坛的方式销售攻击：&三、&&&&&&&&网络控制和感染情况攻击者使用的域名和控制IP：fymy.8800.orgkk.netbot.cc&& 70.39.77.126yqv.3322.org& 115.221.42.158lindashuaiddos.f3322.org& 222.186.52.153192.161.177.20398.126.193.14361.153.104.230198.148.92.100syn.netbot.ccDNS jj94.3322.org& 42.51.4.216ttlatale.3322.org&aaa.swhk.net199.36.72.222四、&&&&&&&&总结随着Linux服务器的占比越来越高，DDoS攻击的肉鸡已经从Windows转向Linux系统，除了用于Web的Linux服务器外，包括智能摄像头、NVR等Linux系统也逐渐成为攻击目标。DDoS攻击组织肉鸡美眉分析
本文主要针对一个跨平台攻击组织&肉鸡美眉&进行了分析，该组织所开发的工具利用SSH弱密码和服务器漏洞控制了众多Linux肉鸡，经验证，该组织的恶意代码可追溯到2009年。本文主要分析了该工具的控制端、生成器以及Windows和Linux被控端变种，并对这些样本进行了同源分析和网络感染疫情的展示。
l&&&该组织活动至少可以追溯到2009年；
l&&&两名开发者昵称；
l&&&可能采用SVN协作方式开发；
l&&&字符串、调试信息、配置文件的同源分析；
l&&&Windows版本生成器和Linux版本生成器、控制器；
l&&被控端4个Windows版本变种，5个Linux版本变种。
本文版权属于安天实验室所有。本着开放共同进步的原则，允许以非商业用途使用自由转载。转载时需注明文章版权、出处及链接，并保证文章完整性。以商业用途使用本文的，请联系安天实验室另做授权。联系邮箱：&。
一、&&&&&&&&概要
2014年，安天实验室ShadowHunter团队分析发现了一个恶意代码，其创建的系统互斥量的名字为&Chicken_Mutex_MM&，故命名其为&肉鸡美眉&。该样本的主要功能是收集服务器基本信息并进行攻击。经过关联分析，我们发现其衍生变种还具有跨平台能力，主要包括Windows和Linux系统两个版本，而Windows版本样本最早在2009年12月就已出现。&肉鸡美眉&开发者采用了SVN协作开发，跨越5年持续演进，随着在国内不断增加且Windows系统受到诸多限制，从事的黑客也从Windows转向Linux，被攻击的大幅增加。同时由于的带宽优势和长期在线的特点使攻击的威力更加增强。
该样本的某些变种在之前的报道中也有提及，但是大部分报道只介绍了其中的某个变种，并没有能够全面、深入地讲述该组织的来龙去脉，而本文则将为大家逐一揭晓。
1.1&&&&&&&&&组织运作概览
&肉鸡美眉&组织截至目前已经持续运作了超过4年的时间，主要进行工具的开发和销售。据判断，该组织至少有两名开发者，其中开发者&小陈&（昵称）应该是开发主力，在多个版本的变种中均有其昵称出现，而开发者&毛毛&（昵称）应该是副手。软件开发后通过搭建黑客论坛等方式进行地下传播，主要是销售给国内的私服技术维护人员，以及通过攻击进行敲诈的黑客，同时还有部分破解版本被传播出去。
图&1肉鸡美眉组织概览
1.2&&&&&&&&&肉鸡MM演化变种
目前安天实验室截获到的Windows变种主要有4类，分别为Chicken、rjshell、svchost和IntergrateCHK，通过编译时间我们可以看到样本变种的时间演化关系（参见图2）。从2009年12月开始出现Windows版本；2012年10月和2013年11月的版本在传播上有两个高峰；2013年4月开始出现Linux版本，并支持32位和64位；在2013年末开始较大范围攻击Linux，&其Linux版本变种主要以端口号区分，包括1、3以及M4（参见图3）。目前监测到的活跃被控端主要是Linux机器。
图&2截获变种样本
图&3变种出现时间
二、&&&&&&&&恶意代码分析
2.1&&&&&&&&&恶意代码组成
2.1.1&&&&&&&&&&生成器
在样本库中检测到该生成器，由于该样本与众不同，通过其界面我们发现是Windows版生成器，生成器的编译时间是日&23点57分0秒，默认生成的端口是6009，生成的变种为IntergrateCHK。
图&4&Windows生成器
同样简洁的是Linux生成器，其中生成的Linux变种是UDP洪水攻击的变种xudp，该变种出现在亚马逊EC2的服务器上，并出现在国内多个Linux系统上。
图&5&Xudp版10991生成器[13]
图&6&10771生成器
图&7&M4版生成器
2.1.2&&&&&&&&&&控制端
通过控制端我们可以看到监控机器的列表，包含被控端的机器名、、CPU和网络速度信息。具有半连接、SYN洪水、UDP洪水攻击功能，同时还具有批量伪造功能。
图&8&M4控制端Manger
2.1.3&&&&&&&&&&被控端
l&&Chicken变种
Windows被控端Chicken变种经过自动分析运行后，它将创建Chicken_mutex_mm互斥量，释放c:\mm.ini配置文件，该文件主要用于保存伪造IP和端口的配置文件，获取CPU信息，并发起DNS请求，同时向控制端发送机器相关信息。
图&9&Chicken变种自动分析
其字符串分析见表1：
表&1变种字符串
Chicken_Mutex_MM
Chicken_mm互斥量
\Chicken\Release\Chicken.pdb
L:\SVN2\trunk\
HARDWARE\DESCRIPTION\System\CentralProcessor\0
HARDWARE\DESCRIPTION\System\CentralProcessor\%d
获取CPU信息
\Processor(%d)\%% Processor Time
PdhGetFormattedCounterValue
用于查询单个核心CPU使用率
JanFebMarAprMayJunJulAugSepOctNovDec
SunMonTueWedThuFriSat
Windows NT
Windows 2000
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows Server 2008 R2
Windows 32s
Windows Unknown
系统版本信息匹配
l&&IntergrateCHK变种
Windows被控端的IntergrateCHK变种运行后，会释放伪造端口IP的配置文件fake.cfg,而Chicken变种释放的伪造配置文件是mm.ini，而两者的内容格式是相同的。
第一行：0&是一个攻击标志位，0表示停止，1表示开始攻击；
第二行：192.168.50.132:192.168.50.132&是局域网伪造包的IP地址范围；
第三行：是伪造包端口范围；
图&10&fake.cfg配置信息
图&11&IntergrateCHK变种自动化分析
l&&svchost x64变种
图&12&Windows 64位svchost被控端变种分析
l&&Linux版本变种
Linux被控端使用C++编写，具有提取信息上报，并接收指令等待攻击的功能，最新版还有DNS放大攻击的能力，部分Linux的被控端也会释放fake.cfg配置文件。Linux变种被控端样本22D0FACF2FFB1B20C1D536A经过&安天追影自动化分析系统（）&，发现其样本具有获取系统网卡、CPU、内存信息，释放ELF文件以及访问域名，反向连接等操作。
图&13&Linux自动化分析
图&14&Linux行为
图&15域名和进程操作
2.2&&&&&&&&&恶意代码同源分析
根据字符串、调试信息、配置文件、配置格式、路径等信息，我们可以找到变种样本之间的同源关系，通过这些信息可以将控制端、Windows版本变种以及Linux版本变种关联起来，同时也可以把控制端1、58000、M4以及Windows版被控端、Linux版被控端都关联起来。
图&16恶意代码同源分析关联图谱
2.3&&&&&&&&&开发者信息
通过样本中包含的调试信息中的路径&SVN\trunk&，我们可以推测出该工具的开发者是采用SVN进行共享代码编写的。同时在调试路径中有一些显示乱码，经分析发现是开发者的中文昵称&小陈&，&毛毛&，并且在中文昵称后面有&反向&，&被控&等中文，指明所开发的组件代码是反向连接被控端。
图&17控制端包含pdb
图&18控制端包含pdb
图&19控制端包含pdb
图&20&控制端包含pdb
其中乱码部分采用的是URL编码，经过解码如下：
图&21&URL编码解码信息
经判断，其主要利用搭建黑客论坛的方式销售攻击软件：
图&22&销售QQ截图
三、&&&&&&&&网络控制和感染情况
攻击者使用的域名和控制IP：
fymy.8800.org
kk.netbot.cc&& 70.39.77.126
yqv.3322.org& 115.221.42.158
lindashuaiddos.f3322.org& 222.186.52.153
192.161.177.203
98.126.193.143
61.153.104.230
198.148.92.100
DNS jj94.3322.org& 42.51.4.216
ttlatale.3322.org&
aaa.swhk.net
199.36.72.222
四、&&&&&&&&总结
随着的占比越来越高，攻击的肉鸡已经从Windows转向Linux系统，除了用于Web的外，包括智能摄像头、NVR等Linux系统也逐渐成为攻击目标。
五、&&&&&&&&参考资料
[1]&&&&&&New
Malware Targets Linux and Windows Systems
/Article/2172819/smb/new--malware-targets-Linux-and-Windows-systems.html
[2]&&&&&&A quick look at a (new?) cross-platform
[3]&&&&&&versatile--trojan-for-Linux
/analysis/publications/64361/versatile--trojan-for-Linux/
[4]&&&&&&Securelist & Information about Viruses, Hackers and Spam
/blog/65192/elasticsearch-vuln-abuse-on-amazon-cloud-and-more-for--and-profit/
[5]&&&&&&V2EX论坛：服务器被入侵，麻烦高手帮忙分析下
[6]&&&&&&内部&OpenStack&云平台被黑
[7]&&&&&&从服务器登录互联网开始,就要注意安全
[8]&&&&&&&
[9]&&&&&&Another look at cross platform
/2013/12/another-look-at-cross-platform-.html
[10]&&Linux.BackDoor.Gates.5 & yet another Linux Trojan
[11]&&APPSTAR：Unix.Trojan.Elknot&病毒处理手记
[12]&&Some tools to monitor BillGates CnC servers
[13]&&百度贴吧：谁来帮忙看看是不是被黑了？
[14]&&Linux中sfewfesfs病毒删除记
[15]&&V2EX论坛：站点密码被暴力破解留下了操作记录，有几个命令不是太理解
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】