0×01 概述

2016年1月，安天追影小组通过安天态势感知系统发现了一款带有过期签名的DDoS恶意程序，该样本盗用了韩国NHN公司美国分公司的数字签名，NHN旗下包括韩国本土最大的搜索引擎网站，美国分公司主要从事网络游戏开发，被盗用的数字签名已经过期，恶意代码添加过期的数字签名主要是为了躲避杀软检测。该数字签名被多个恶意样本使用，应该已经在地下市场 流传。该DDoS样本包含多种DDoS攻击方式，并主要针对国内的在线销售减肥药、在线赌博、电子交易平台进行攻击。攻击者对灰色或非法网站进行DDoS 攻击的目的可能是敲诈或者同业竞争。

通过追影设备分析发现该病毒为DDOS恶意样本，病毒样本运行后释放rasmedia.dll到system32目录 下，安装WinHelp32服务，运行CMD自删除。并创建两个线程分别防止服务自身被删除和进行DDoS攻击。攻击者使用 fabao.309420.com:7002作为C2与DDoS病毒样本进行通信并分发攻击任务。短时间内已捕获到对多个网站被DDoS攻击。

图1 签名样本DDoS攻击

0×02 样本分析

1）样本标签

探海威胁检测系统检测都hxxp://61.147.107.91:8082/get.exe的恶意代码传输事件，经过分析该样本的基本信息如下：

病毒名称           Trojan[Backdoor]/Win32.DDOS
原始文件名         get.exe
MD5               b8f83b1e12ac61d8045a44561c5b7863 
处理器架构          X86-32            
时间戳             2015-10-28       14:07:22 
加壳类型           无
编译语言           Compiler/Microsoft.VISUAL_C[:v6.0]   
VT首次时间         2015-12-06              
VT检测结果         47/55

2）样本运行流程

病毒样本运行后释放rasmedia.dll文件到system32目录下，安装WinHelp32服务，运行CMD自删除。服务程序反弹连接 fabao.309420.com:7002，上报受害者机器信息，并创建两个线程分别防止服务自身被删除和等待服务器攻击指令，进行DDoS攻击。

图 2 样本运行流程

3）样本详细分析

该样本包含NHN USA Inc.公司的数字签名信息，该数字签名有效期是2009/11/3到2011/10/29，已经过期。

样本get.exe运行后会释放后门文件rasmedia.dll到system32目录下，每次释放，此文件末尾会被随机填充一些数据形成不同的 文件hash，在开启了UAC的系统上，释放文件到system32目录会失败，样本会动态加载rasmedia.dll，调用其导出的Install函 数使得rasmedia.dll以WinHelp32服务的方式启动。最后样本get.exe会调用cmd.exe进行自删除。 在WinHelp32服务启动后，对应的后门dll文件就被加载运行了，首先，dll会动态解密要连接的域名端口：fabao.309420.com:7002，此后rasmedia.dll会创建两个主要的线程，一个线程是为了防止自身被删除，另一个就是联网获取远端指令，然后执行相关的操作,例如DDoS。为了防止被删除，其首先会读取自身数据存放在缓冲区里，然后循环判断自身文件是否存在，如果不存在就把缓冲区里的内容重新写入文件。另一个线程首先会收集本地主机的计算机名、系统版本、磁盘大小等信息， 然后把这些收集到的信息加密后，发送到远控端，其加密算法如下：

void  call(BYTE *buf, int len,int res)
{
    int i=0;
    BYTE tmp=res&0xff;
    tmp=tmp % 0xfe;
    tmp++;
    while(len)
    {
        buf[i] = tmp+ tmp ^ buf[i];
        i++;
        len--;
    }
}

     

而此加密函数的调用方式是以call(buf,0×60,0x0c)这种形式出现，其中的buf里存放的就是收集到的一些信息，0×60是信息长度

然后，dll会循环从fabao.309420.com:7002上获取数据，在解密接收的数据后，会再次对数据进行格式解析，其解密算法如下：

void call2(BYTE *buf, int len,int res)
{
    int i=0;
    BYTE tmp=res&0xff;
    tmp=tmp % 0xfe;
    tmp++;
    while(len)
    {
        buf[i] = (buf[i]-tmp)^tmp;
        i++;
        len--;
    }
}

通过观察上面的两个函数可以看出，这里的加密函数和解密函数正好相对应。
通信数据协议为：控制指令(4字节)+数据大小(4字节)+数据

然后通过匹配控制码，来执行相关的操作，分析发现，这里经常接收到的控制码有0×31000002和0×32000002，这两个控制指令都跟DDOS相关，当控制码为0×31000002时，解密后的数据如下：

可以看到，这种情形下获取的数据是一个IP地址，然后dll会创建很多线程，每个线程都循环对获取到的IP进行DDOS攻击，每次发送的数据包大小为0×1000，而数据内容是随机生成的。

当控制码为0×32000002时，解密后的数据在这里获取到的数据是一个带参数的网址，其内容如下：

 

然后也会创建很多线程循环对这个网址发起大量GET请求，造成DDoS，其发送的GET请求的数据如下：

如上图所示，其GET请求的数据的组成方式是以事先准备好的模版来填充的，在dll里还有其他的模版，总数多达十种，除了DDOS功能外，此dll文件还有其他远控类型的功能，在通过分析后发现，此DLL后门中的控制指令多达20种，其主要指令如下：

控制码    功能

0x37000002   DDoS
0x41000001   DDoS
0x37000001   DDoS
0x32000004   DDoS
0x33000001   DDoS 
0x36000001   DDoS   
0x32000002   DDoS  
0x31000005   DDoS
0x32000001   DDoS
0x31000003   DDoS
0x30000001   Do nothing
0x31000001   DDoS
0x31000002   DDoS
0x20000020   修改HOSTS
0x20000003   关机
0x20000004   远程下载执行
0x20000005   打开指定程序
0x20000006   打开指定程序
0x20000000    卸载自身
0x20000002    重启

0×03 网络架构分析

网络基础设施

黑客控制网络基础，由样本分析可知，攻击者使用fabao.309420.com:7002指向的61.147.107.91作为服务器进行分发DDOS 攻击任务，同时该IP的另外端口作为木马下载服务器。该域名并未部署web网站。由ping的TTL返回值为118，可猜测其操作系统为Win  NT/2000/2003/XP。同时该域名在不同时间段指向了多个威胁IP。该黑客组织从2013年即开始活动，其IP地址均位于江苏省扬州市电信。

域名                     IP端口                          最早时间                  作用     
fabao.309420.com:7002   61.147.107.91:7002             2015-10-12              C2控制服务器
                        61.147.107.91:8082             2015-10-12               放马服务器
fabao.309420.com:7002   61.147.70.142:7002              2015-11-19               C2控制服务器  
fabao.309420.com:7002   61.147.103.178:7002            2015-06-18               C2控制服务器
fabao.309420.com:7002   61.147.103.117:7002             2013-06-03                C2控制服务器
fabao.309420.com:7002   61.147.103.99:7002               2013-04-17                C2控制服务器

使用X-Scan扫描目标服务器，发现目标开放了如下端口：135、139、21、22、3389。其中21端口经检测，运行的为Serv-U  FTP Server v6.4，注意到目标服务器开放了22端口和SSH服务，尝试连接得到如下提示，怀疑可能是限制了登陆IP。 目标服务器还开放了3389端口，使用系统自带的远程桌面连接连接至目标服务器，可以看到目标服务器系统为Windows Server 2003，符合前边的推测。目前尚未发现存在弱口令等。与控制端通信的其它样本84747986208f11f326a890451988064f则采用了伪造腾讯数字签名信息来逃避检测。

0×04 危害影响

4.1 受害者网站

根据监测发现，被攻击目标列表如下：

主要攻击目标包括网络销售减肥产品、娱乐城以及电子商务平台，属于网络上的灰色相关产业，这些产业竞争比较激烈。

0×05 黑客追踪

攻击者推理

通过追影设备提取C2可以锁定以下域名：fabao.309420.com ,查询whois信息可以得到如下的注册信息：

根据域名注册的英文信息，域名所有者是在广西省南宁市大学路58号申请注册的该域名，可能使用过号码为0771-3268887的固定电话，经查该号码地址为广西南宁。通过输入域名反查，我们获取到了注册域名的163邮箱。通过这个邮箱，搜索申请的域名：

发现该邮箱仅仅申请了309420.com这一个域名。

0×06 总结

该DDoS攻击组织利用窃取的企业过期签名以及伪造数字签名来逃避杀软检测，对可信体系的信任链条是一种冲击，目前杀毒软件厂商也都增加了对数字签名的检验，从粗糙的检验数字签名是否存在到对数字签名的期限，数字签名伪造等进行检测。攻击的目标主要是灰色网站，该领域存在激烈的同行商业竞争，如果有新加入这个销售减肥药品在线销售网站将会受到之前的该领域的共同攻击。

附相关MD5列表

  0b149f4ea7618a1d009409e889541b89
  82d25d47c82246aed948031597141763
  84747986208f11f326a890451988064f
  801905dd2ff5b92355ba4c21a9ec1477
  b8f83b1e12ac61d8045a44561c5b7863
  7afeb59f339d3af22b8b1f51b8e01f15
  4f6f7e8d6400fad699793449834153c1
  087e5fbde0dec2d19eafbf749433792c
  2ec8c7c9a3b051e2b44d74ebe4f53aa4
  429b2d49ebf58634df7c6d2def01b406
  685157a415112954f94a2ea7cfd796f4
  b7d9c12c12a86fcea50371a0fe545641
  9d390bd6a71eb4e2a0d3ba8d1fead3c6
  572b568cfd3ce67b81ed980cfa6520b0
  84bb036c3ee8681dec8e98c6356190b7

参考资料

[1] NHN USA

* 作者：安天追影（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）