透视全球 XorDDoS 攻击基础设施

最近,研究人员分析了 XorDDoS 僵尸网络的新行动,发现了大量 C&C 基础设施。与 2022 年的攻击行动进行比较,唯一的区别就是 C&C 服务器的配置。尽管域名未变,但攻击者已经将基础设施迁移到合法主机托管服务。

尽管很多安全厂商已经将 C&C 的域名列入黑名单,但仍然有流量流向这些恶意 IP。研究人员发现,仅 2023 年 8 月就有一千余个 XorDDoS 的 C&C 流量。

想要了解网络安全,学习网络安全知识的小伙伴可以扫描下方二维码~

 

Linux XorDDoS 僵尸网络

XorDDoS 会感染 Linux 设备并加入僵尸网络,攻击者可以控制这些设备实现恶意意图,例如进行 DDoS 攻击。研究人员跟踪的攻击行动从 2023 年 7 月 28 日开始,7 月 31 日到 8 月 5 日进入活跃期。经过几天的静默后,在 8 月 12 日激增式传播超过 30 个不同的恶意样本。

每日传播去重恶意样本数如下所示:

1697713977_65310f397eb50febe9110.png!small?1697713970844

木马演化趋势

受害者扫描与失陷主机上线

攻击者在发起攻击前通常会进行扫描,利用 HTTP 请求识别目标存在的漏洞。例如目录遍历漏洞,攻击者可以直接访问服务器中的任意文件。

多台失陷主机都接收到了对 /etc/passwd 文件的扫描请求,这些请求都发生在攻击之前,后续会进行 C&C 通联。

下图中蓝色是对失陷主机的扫描请求,红色为后续生成的 C&C 流量。最初的三天中,每天都会收到超过 1000 次扫描探测请求。后扫描量急剧下降,最终消失,最后生成稳定的 C&C 流量。

1697713997_65310f4d6a54be2d01036.png!small?1697713990807

扫描与 C&C 流量

攻击者通过泄露的文件获取用户名,然后通过 SSH 暴力破解获取初始访问权限,入侵后下载植入恶意软件。

恶意软件行为分析

XorDDoS 会使用异或加密密钥(BB2FA36AAA9541F0)加密相关数据,如下所示为 XorDDoS 调用解密函数检索硬编码字符串。

1697714014_65310f5ed301c9bd68cde.png!small?1697714008359

字符串解密

成功植入后,木马首先会收集失陷主机的基本信息。例如 MAGIC String 为 32 字节长的标识符,用于标识唯一身份。还包括 /var/run/gcc.pid 中的数据、操作系统版本、恶意软件版本、内存状态与 CPU 信息。

随后,攻击者计算相关数据的 CRC 校验码再使用异或加密密钥进行加密。如下所示,C&C 服务器会使用 CRC 校验码检测通信时发生的错误。

1697714033_65310f7178e0de5239778.png!small?1697714026891

失陷主机相关信息

下图为窃取数据的 C&C 流量:

1697714049_65310f81dae70e4aba128.png!small?1697714043657

C&C 流量

C&C 域名硬编码在恶意软件中,XorDDoS 调用 crypto_remotestr() 函数将域名解密,如下所示:

ppp.gggatat456[.]com:53
ppp.xxxatat456[.]com:53
p5.dddgata789[.]com:53
P5.lpjulidny7[.]com:53

1697714065_65310f911a54b19b4c846.png!small?1697714058591

C&C 域名解密

恶意软件利用 8.8.8.8 与 8.8.4.4 解析 C&C 域名对应的 IP 地址,建立连接并等待攻击者的命令:

1697714079_65310f9fe6e4611860627.png!small?1697714073645

C&C 域名解析

一旦与 C&C 服务器建立连接,攻击者就能够向客户端发送命令,如下所示:

命令描述
2停止
3发起 DDoS 攻击
6从远程服务器下载文件
7上传本地文件到远程服务器
8回传系统信息
9获取配置文件

持久化

XorDDoS 通过多种方式进行持久化,通过定时任务每三分钟触发一次恶意软件执行,并配置系统启动时自动执行。

为逃避检测,攻击者将进程转变为独立于当前用户会话运行的后台服务,这样可以避免用户发出进程终止信号并将自己伪装成合法进程。

执行时 XorDDoS 会释放 ELF 可执行文件,以此进行自我复制。这些样本文件高度相似,但并不完全相同。2022 年 12 月至 2023 年 8 月,失陷主机中发现了超过 26000 个此类样本。

失陷主机分布在各个行业中:

  • 半导体
  • 电信
  • 运输
  • 金融
  • 保险
  • 零售

C&C 攻击基础设施

入侵失陷主机后,攻击者通过 C&C 命令控制僵尸网络。研究人员发现,攻击者注册这些恶意域名并获利已有数年之久。

恶意域名的持有者在 2022 年也策划了另一场大规模攻击行动,如下所示:

1697714105_65310fb99e47261000217.png!small?1697714098942

2022 年活动趋势

攻击者在 2022 年 2 月、3 月与 8 月进行了大范围攻击,攻击方式和手段与 2023 年类似,只在攻击基础设施存在差别。

查看对 C&C 域名的请求时,发现攻击者切换了恶意域名的 IP 地址,如下所示:

1697714121_65310fc9e3a554e5c3ea2.png!small?1697714115523

域名请求趋势

8 月 8 日前,请求量仍然较低。8 月 8 日至 18 日期间,恶意软件活动明显增强,每天约有两万余次请求。从 8 月 19 日到 22 日,请求量增长了 22 倍以上。8 月 20 日出现了明显的峰值,当日请求次数突破了 96 万。

C&C 域名的解析情况如下所示:

C&C 域名Nameserver子域名IP地址自治系统
xxxatat456[.]comname-services[.]comaaa.xxxatat456[.]com、b12.xxxatat456[.]com、ppp.xxxatat456[.]com、www.ppp.xxxatat456[.]com、www.xxxatat456[.]com142.0.138[.]41、142.0.138[.]42、142.0.138[.]43、142.0.138[.]44、142.4.106[.]73、142.4.106[.]75、192.74.236[.]33、192.74.236[.]34、192.74.236[.]3554600
gggatat456[.]comname-services[.]comaaa.gggatat456[.]com、ppp.gggatat456[.]com、www1.gggatat456[.]com、www.ppp.gggatat456[.]com142.0.138[.]41、142.0.138[.]42、142.0.138[.]43、142.4.106[.]73、142.4.106[.]74、142.4.106[.]75、142.4.106[.]76、192.74.236[.]33、192.74.236[.]34、192.74.236[.]35、192.74.236[.]3654600
lpjulidny7[.]comdomaincontrol[.]comp0.lpjulidny7[.]com、p2.lpjulidny7[.]com、p3.lpjulidny7[.]com、p4.lpjulidny7[.]com、p5.lpjulidny7[.]com34.98.99[.]30396982
dddgata789[.]comdomaincontrol[.]comddd.dddgata789[.]com、p5.dddgata789[.]com

尽管许多安全厂商已经将该 C&C 域名列入黑名单,但 IP 地址并未列入黑名单。XorDDoS 的攻击基础设施如下所示,2023 年的攻击活动位于左侧,2022 年的攻击活动位于右侧。

1697714147_65310fe357794e817dae3.png!small?1697714141142

攻击基础设施

攻击流量分布

2023 年 7 月至 8 月期间,攻击者成功入侵了 21 个国家/地区的失陷主机。很大一部分攻击流量集中在非洲、南亚与东南亚,占比超过 77%。

1697714168_65310ff82c9827ebdaeb3.png!small?1697714161808

攻击流量分布

结论

XorDDoS 在 2023 年 7 月到 8 月间进行了大规模传播,该僵尸网络攻击 Linux 设备并控制其发起 DDoS 攻击。攻击者仍然使用旧的 C&C 域名,也将服务器迁移到了新的 IP 地址上。

IOC

23.252.167[.]35
34.98.99[.]30
66.102.253[.]30
98.126.8[.]114
103.25.9[.]245
103.233.83[.]245
103.240.141[.]50
104.247.217[.]167
113.10.246[.]145
119.147.145[.]198
142.0.138[.]41
142.0.138[.]42
142.0.138[.]43
142.0.138[.]44
142.4.106[.]73
142.4.106[.]74
142.4.106[.]75
142.4.106[.]76
162.251.95[.]209
174.139.217[.]145
183.56.173[.]144
183.56.173[.]156
183.60.202[.]2
183.136.213[.]96
192.74.236[.]33
192.74.236[.]34
192.74.236[.]35
192.74.236[.]36
203.12.202[.]137
0o557[.]com
604418589[.]xyz
www.98syn[.]com
aldz[.]xyz
syn.aldz[.]xyz
p.assword[.]xyz
linux.bc5j[.]com
cdn.netflix2cdn[.]com
dddgata789[.]com
b12.dddgata789[.]com
d14.dddgata789[.]com
ddd.dddgata789[.]com
p5.dddgata789[.]com
ww.dnstells[.]com
ndns.dsaj2a[.]com
ndns.dsaj2a[.]org
gh.dsaj2a1[.]org
ndns.dsaj2a1[.]org
www.enoan2107[.]com
a381422.f3322[.]net
1107791273.f3322[.]org
aa369369.f3322[.]org
shaoqian.f3322[.]org
xlxl.f3322[.]org
cdn.finance1num[.]com
baidu.gddos[.]com
soft8.gddos[.]com
gggatat456[.]com
aaa.gggatat456[.]com
b12.gggatat456[.]com
g14.gggatat456[.]com
ppp.gggatat456[.]com
www.ppp.gggatat456[.]com
www1.gggatat456[.]com
8uc.gwd58[.]com
ww.gzcfr5axf6[.]com
www.gzcfr5axf6[.]com
ww.gzcfr5axf7[.]com
ndns.hcxiaoao[.]com
ns1.hostasa[.]org
ns2.hostasa[.]org
ns3.hostasa[.]org
ns4.hostasa[.]org
linux.jum2[.]com
lpjulidny7[.]com
p0.lpjulidny7[.]com
p2.lpjulidny7[.]com
p3.lpjulidny7[.]com
p4.lpjulidny7[.]com
p5.lpjulidny7[.]com
2w5.mc150[.]cn
ww.myserv012[.]com
nishabud[.]com
aaaaaaaaaa.re67das[.]com
ww.s9xk32a[.]com
ww.s9xk32b[.]com
ww.s9xk32c[.]com
ww.search2c[.]com
ssh.upx[.]wang
www.wangzongfacai[.]com
bb.wordpressau[.]com
bbb.wordpressau[.]com
xran[.]xyz
xxxatat456[.]com
aaa.xxxatat456[.]com
b12.xxxatat456[.]com
ppp.xxxatat456[.]com
www.ppp.xxxatat456[.]com
www.xxxatat456[.]com
x14.xxxatat456[.]com
zryl[.]online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题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

  • 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
  • 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

 “没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

 2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。

 行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

 

 (都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。 

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取 

  

  • 8
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值