Author: elknot@360corpsec

0x00 前言

今天本来是开年会，一个皆大欢喜的日子，但是吧我这种中奖绝缘体一般是没什么收获的，这个时候突然来了一封邮件，邮件的内容是这样的：

这样的话，看来是蜜罐又被攻击了。

0x01 蜜罐里面的日志分析

emmm，看来是我的蜜罐收到了一次扫描，但是这次是头一次看到了3306端口的扫描流量，这地方有点意思，毕竟之前蜜罐爆出来的扫描成功基本上都是扫22端口，我猜可能是执行了什么命令，正好看了下scanmon上面扫描的数据发现这个IP实际上在最近几天的时间进行了大量的3306端口扫描，除此之外还有80端口和60001端口，如下图所示：

那既然扫描了的话肯定干了点什么事情，结果发现蜜罐中的日志出现了一个服务器的地址：

http://122.114.248.240:8879

然后就上去看了下，看来是蜜罐报警前30分钟左右上线的hfs服务器，里面存在6个文件，文件的列表什么的如下：

exe什么的先不看，linux2.6那个文件是一个x86 ELF文件，IDA拖一下发现这个病毒的代码结构很像是dofloo家族的结果，可能这个botnet是一个dofloo的变种什么的也说不定，一上来先看到了一个连接c&c的操作：

通过用沙箱分析，发现了连接的c&c地址是gj.07360736.cn:2658，反向解析之后发现域名指向的地址是122.114.248.240:2568，之后会克隆自己到C:\WINDOWS\system32\xxxx.exe下，xxxx为任意的名称，随机六位字母，接下来的操作其实和dofloo家族botnet很相似了，能够干的事情包含CC攻击、SYNFlood攻击等一大堆DDoS攻击，看来这个botnet的目的就是发动DDoS，晚上准备把这个样本丢到我的养马场里面，检测一下最近的攻击行为。同时跟我大哥确认了一下消息，获得的检测信息如下：

McAfee:[u'Linux/Dofloo.a', u'6.0.6.653', u'20180322']
AegisLab:[u'Backdoor.Linux.Dofloo!c', u'4.2', u'20180322']
Symantec:[u'Linux.Dofloo', u'1.5.0.0', u'20180322']
ESET-NOD32:[u'Linux/Dofloo.A', u'17097', u'20180322']
Kaspersky:[u'Backdoor.Linux.Dofloo.b', u'15.0.1.13', u'20180322']
NANO-Antivirus:[u'Trojan.Unix.Dofloo.efsxke', u'1.0.100.21498', u'20180322']
Tencent:[u'Trojan.Linux.Dofloo.ba', u'1.0.0.1', u'20180322']
McAfee-GW-Edition:[u'Linux/Dofloo.a', u'v2015', u'20180322']
Avira:[u'LINUX/Dofloo.AA', u'8.3.3.6', u'20180322']
Antiy-AVL:[u'Trojan[Backdoor]/Linux.Dofloo.b', u'3.0.0.1', u'20180322']
ZoneAlarm:[u'Backdoor.Linux.Dofloo.b', u'1.0', u'20180322']

现在基本确定这个东西是一个借助3306端口传播的dofloo botnet，基本上没跑了，但是呢我们需要去对一些信息进行反向查询一下，我们先从scan扫描的流量入手。

0x02 查户口

首先我们先从蜜罐的扫描器入手，我们发现这个扫描器活跃的时间是从这个月12号开始的，我们可以发现这个IP产生了大量的扫描流量。

这样的话看来中招的机器应该不少，由于手头的数据有限，所以没有办法看到中招机器具体的数量，但是我们可以看一下分发服务器的8879端口访问次数，因为访问次数可以粗略的估计中招机器的数量，所以看一下这台机器的流量，我们发现有一个很大的波峰，大概最高有70多个机器访问了8879端口。

emmm看来肉机数量不是很多啊，不过以后没准有越发增加的趋势也说不定，但是现在还是不算大。所以先观察着。
我从bitracker上导出了一份情报信息作为附件放到文章里，大家如果愿意去持续观察分析这个botnet的话，可以当做参考。
那么我们尝试一下去使用PDNS数据去查一下IP和域名的数据，可以看到这个域名曾经解析过两次，一次IP地址为122.114.213.63，另一次为122.114.248.240，具体情况就是下面的图：

本来还想查一下Whois信息，结果发现Whois信息实际上是没有用的，所以有点浪费时间了。
这样的话我可以从样本下手看一下样本里面的一些细节，首先先来看下样本上传的path，path是多么熟悉啊。

emmm，我觉得可能是出了点什么问题。于是去查看了一下这个IP地址的画像信息，结果发现IP地址122.114.248.240所属的是郑州的一台服务器，隶属于zzidc，扫描器的信息也是一样的，隶属于同一个IDC。


到现在基本上大概的流程就是：一个人买了几台服务器，然后扫了个3306端口，紧接着植入木马。

0x03 总结

由于时间仓促，所以分析的不是很细，大家如果有意愿的话，可以继续分析一下。