面向目标ip发起ddos攻击的木马工具
DDoS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的,词文章主要是针对那些对一种被大量肉鸡使用,面向目标IP发起DDoS攻击的木马工具。
本篇文章是对一种被大量肉鸡使用,面向目标IP发起DDoS攻击木马工具的详细分析。
一 背景
近期,阿里云云盾安全攻防对抗团队通过异常流量分析和攻击溯源发现了一种被大量肉鸡使用,面向目标IP发起DDoS攻击的木马工具。经过取样和入侵分析,我们发现该DDoS攻击工具大部分是由于网络上某些服务器存在Mysql或SqlServer弱密码等原因被入侵,被黑客传入大量恶意软件,其中包括该款DDoS工具:
文件名:DbProtectSupport.exeMD5:412e6b0de470907cba75e00dde5a0086
该DDoS工具运行后先通过反弹的方式主动与远程主机连接,远程控制机随后向该DDoS工具传递攻击的目标IP。DDoS工具随后使用自己所携带的Winpcap驱动直接操作网卡发包,向目标IP发动SYN流量攻击。
二 样本简介
该DDoS工具启动后,会先获取主机信息(系统版本、CPU架构,网卡信息,MAC地址),然后主动通过设定好的域名来连接远程主机。建立连接后,将这些信息发送给远程主机。同时,工具会创建线程等待主机发来攻击目标IP。当远程控制机与该DDoS进行一系列的准备工作通信后,会给其发送一个攻击指令包,该指令包会包含攻击目标IP地址。
该DDoS工具接收到攻击指令后,会自助将目标IP填充为SYN包,然后调用Winpcap驱动,直接操作网卡发送填充好的攻击流量包。
三 详细分析
3.1 网络流量分析
在测试机中(由于隐私需要,将部分机器IP、MAC地址隐藏)将该程序启动,通过分析网络流量会发现该程序在与远程控制机建立连接后会立即向远程主机发生一个“报告包”,该包包含了本机的系统版本,如图1所示.
图1 描蓝包所显示的数据有一段Windows Server 2003(红框所示)
后续会进行一段时间的相互通信,通过数据分析发现,该通信包无明显特征,应该是为防止下断recv,增加分析recv包的难度。经过该段时间通信后,控制端会发送一个明显突变的包,然后受控机开始进行向外DDoS攻击。通过分析该包内容,该包明显相较于其他数据包不一样,对比随后就发生的DDoS攻击的目的IP地址,发现该包包含了DDoS攻击目标IP与端口号,因此可判断为该包为指令包,如图2所示。
图2 描蓝即为指令包,受控机收到该包后随后控制机即对外部进行DDoS攻击,其中红框即为目标攻击IP
3.2 文件逆向分析
通过对程序逆向分析,发现程序运行后会获取主机的信息(系统版本、CPU架构,网卡信息,MAC地址),如图3、4所示:
图3 CPU核心和架构
图 4 系统网络接口和MAC地址
对gethostbyname下断可发现受控机会首先获取*.softcoo.com这个域名获取主机地址信息。
对connect下断可以发现连接的控制机的目的地址为:*.*.242.6,如图5所示:
图 5逆向分析出connect控制机IP地址为:*.*242.6
对send下断可以发现所发送的第一个数据包内容。数据内容对比可发现,该数据内容一致。
由于后面实际打DDoS攻击使用的是自带驱动Winpcap直接操作网卡来进行发包,因而OllyDbg截获不了所发的封包,但是可以通过Wireshark抓包软件来捕获。
四 总结
经过以上分析,我们可以发现该DDoS木马的并没有太复杂的DDoS攻击模式,而且也没有自启动模块,当外部程序启动它后,就会接受远程控制,来对目标IP发动攻击。该攻击行为由于是直接操作驱动进行,所以客户端没有很好的阻断方式。
不过,由于本机文件特征比较明显,它的同目录文件夹下会带有npf.sys驱动,因而是个比较明显的特征。
最后,该DDoS工具传播范围比较大,当发现机器上有异常流量的时候,可以直接检查下自己服务器上面是否存在此恶意工具文件。
linux防火墙怎么设置? 防火墙在linux系统上的应用
iptables 这个指令, 如同以下用 man 查询所见, 它用来过滤封包和做NAT Network Address Translation(网路位址转译), 这个指令的应用很多, 可以做到很多网路上的应用 iptables - administration tool
详情2018-01-04 08:58:02责编:llp 来源:驱动管家处理webmail接口漏洞的邮件服务器surgemail
受影响系统: NetWin SurgeMail beta 39a NetWin SurgeMail
详情2018-01-03 09:06:24责编:llp 来源:驱动管家路由器怎么设置才可以抵挡ddos攻击?
一、路由器设置实现DDoS防御之DDoS攻击原理讨论在分布式“拒绝服务”(DDoS)的攻击过程中,一群恶意的主机或被恶意主机感染的主机将向受攻击的服务器发送大量的数据。在这种情况下,靠近网络边缘的网络节点将会
详情2018-01-03 18:06:06责编:llp 来源:驱动管家什么是openvpn漏洞?openvpn漏洞的危害
OpenVPN桌面客户端爆CSRF漏洞(可远程执行命令)受影响版本:windows版本的OpenVPN Access Server "Desktop Client " app。版本号为1 5 6(漏洞发现时的最新版)及以前的版本。OpenVPN Connect,Private Tunne
详情2018-01-03 13:38:05责编:llp 来源:驱动管家验证码识别的原理是什么?验证码识别怎么破解?
对于比较复杂的验证码,比如DZ论坛最新的验证码,处理起来相对麻烦一些,但是原理还是和普通的识别一样的,无非多了个背景处理的方案,看如下对DZ论坛的验证码的识别的思路首先我们要去除它的背景,对于这样稍微
详情2018-01-03 13:52:23责编:llp 来源:驱动管家勒索软件补丁:安装android7.0 nougat
有一天打开电脑,发现电脑已经被锁住,窗口弹出说明:如果你不给钱,就把你的电脑清空,这就是遇到了勒索软件。近年来,这种勒索已经频频出现在安卓手机上,手机里的重要资料可能比电脑里还多,这时候怎么办,真
详情2018-01-04 09:11:33责编:llp 来源:驱动管家电脑怎么设置密码?这款大势至电脑文件加密软件能帮你
现在各种网络安全事件层出不穷,尤其是各种泄密“门”相关的安全事件让很多人胆战心惊。如何保护电脑文件安全、保护个人隐私,就成为当前文件防泄密的重要举措。如何选择合适的电脑文件加密软件呢?在此向大家推
详情2018-01-02 16:58:58责编:llp 来源:驱动管家心脏出血漏洞的相关问题及解答
小编带来了openssl安全漏洞介绍,想知道openssl心脏出血漏洞防治方法是什么吗?近日,openssl心脏出血漏洞被曝光,该漏洞影响范围甚广,大家可以通过下文了解详细信息。--什么是SSL?SSL是一种流行的加密技术,可以
详情2018-01-02 17:24:41责编:llp 来源:驱动管家高强度文件夹加密大师怎么加密解密?
今天我们社团学弟拿了一个高强度文件夹加密大师给社长试试,说是一个这加密文件夹很好的东西,可以把私藏的物品放在文件夹然后加密文件夹。我处于好奇也跟了上去看看。他又说,这是他花了好长时间才找到的一个不
详情2018-01-02 16:45:26责编:llp 来源:驱动管家验证码无法显示怎么办?验证码无法显示的解决方法
晚上检测一个站的时候,猜解出了密码,扫出了后台,可验证码就是无法显示,难道管理员故意弄的?不太可能吧?于是上网一搜,没想到还真找到了解决的方法。我的是Vista Ultimate,部分XP SP2也会有这个问题。好
详情2018-01-02 16:13:09责编:llp 来源:驱动管家
- 什么是宿主进程?宿主进程文件有哪些作用?
- wupdmgr.exe是什么?wupdmgr.exe错误导致哪些问题?
- 电脑显示器无信号是什么原因造成的?怎么解决
- 飞利浦显示器的屏幕被控制锁定怎么办
- win8怎么利用电脑的快捷键截图
- 红米pro发布会的主要内容 红米pro手机的基本介绍
- qq群可以添加一万个人吗?qq万人群要怎么申请?
- 什么是md5加密?md5加密是安全的吗?
- eqd是什么文件?大盛清单计价软件是用来什么的?
- 恢复硬盘数据有哪些方法?恢复硬盘数据的教程
- 什么是固态硬盘 固态硬盘有什么优缺点
- 教你认识固态硬盘和机械硬盘的区别 装机从此不再求人 固态硬盘和普通硬盘的区别
- 两台电脑要实现共享文件可以用这个办法
- 比特币云矿机要怎么申请?比特币云矿机可以免费挖矿吗?
- 大蜘蛛杀毒软件怎么卸载?大蜘蛛杀毒软件的卸载方法
- 联想电脑如何一键还原
- ced是什么软件?方正apabi reader可以打开ced文件
- 液晶显示器虽然优点很多但是它的寿命却不长
- 笔记本外接显示器的这些方法你最喜欢用那个
- 遇到itunes打不开的问题可以尝试一个这个办法