从蜜罐捕获DDOS木马到溯源分析

蜜罐捕获DDOS木马到溯源分析

关于蜜罐搭建的过程,我已经发到了千寻瀑的公众号上。有兴趣的小伙伴们可以看看哦

0x01 前言

lOQlLt.md.png

部署这个SSH蜜罐大约有3个月以上了,完全是佛系抓取。前几天看了一下日志。发现蜜罐捕获了一个黑客“抓鸡”的行为。反正这几天闲出屁来了,分析一波吧!

0x02 静态分析

ELF文件信息

文件名:LinuxTF


文件信息:ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped


入口点:
0x08048110


MD5:6F91E505B00EC02A7EF79DC876384F55

0x03 动态分析

lOeIwF.md.png

幸好程序没有被加壳混淆之类的,拽入IDA可以直接分析。首先我们从Main函数开始分析

我们可以看出 main函数只是执行了一些木马初始化的基本操作。下面写了一个while无限循环,来执行连接服务器的一个函数。跟进分析

ConnectServer()

lOniEF.md.png

这个函数里面有一个服务器连接到控制台的函数ServerConnectCli(),也就是木马与主服务器连接的函数。仅需跟进分析。

ServerConnectCli()

lOns8s.md.png

我们可以看到,在连接到木马主控服务器控制台的时候。程序第一执行的是一个发送DNS查询的方法。继续跟进这个函数

send_dns_analysis()

lOuisP.md.png

这个函数首先是发送了一个DNS的请求包,请求查询一个常量,那么这个常量的值是什么呢?查一下就知道了

lOudQ1.md.png

我们可以看到 这个常量的值是 http://songjing.123nat.com/

0x03 继续搞事

如果说我这个服务器不是蜜罐,那么我这台服务器现在已经是这位黑阔的肉鸡了。既然这个黑阔搞的是僵尸网络,那么以其人之道还治其人之身岂不美哉?

ping一下这个域名songjing.123nat.com
,即可得到黑阔主控端的真实IP。

lOK9kF.png

经过IPIP.NET的查询 发现。这个IP竟然是阿里云的,阿里云不管一管么?嘿,有黑阔在你们的服务器上控制僵尸网络啊

lOKHHK.md.png

端口扫描 8080端口开放。HFS D阔必备。 里面静静的躺着蜜罐捕获的木马。一共两个文件 一个叫Linux-arm 一共叫LinuxTF 下载量也是很惊人。一个169 一个4 除了我的蜜罐,也就是172次下载量。可能世界上已经有172台设备感染了这个DDos的木马

lOMbMn.md.png

仔细想一想,有点。阿里云本身是有风控系统的,可能主控端和被控端之间的通讯阿里云会认为是正常的。如果说用阿里云去爆破Linux主机进行抓鸡的话。阿里云的风控系统肯定会触发,那么这个d阔活不长了。我怀疑抓鸡和主控端是两台机器。还是看看蜜罐的捕获日志吧。果不其然,抓鸡的是另一台服务器。IP:112.30.132.7

lOlKtU.md.png

查一下,发现是一个安徽合肥移动的地址。开了3389端口 铁定是D阔的抓鸡服务器了

lOl6Bt.md.png
lO1Urn.md.png

免费的页端搜一搜,以毒攻毒。

真舒服

0x04 最后

感觉蜜罐这个东西还是挺好玩的。从最早以好奇的心态接触蜜罐技术,直到现在真实的捕获到了病毒样本。想想还是挺激动的。公网上的攻击其实很多,在此呢告诫大家。如果说有跟我一样的,家里或者各种企业有公网IP的。千万不要把自己一些管理业务的端口完全的暴露在公网上。这样肯定会被黑客盯上的。我这个蜜罐就是非常好的例子。如果说我这个不是蜜罐,是一个真实的服务器。那么我这台服务器就已经被D阔控制并加入了D阔的僵尸网络中。感觉这个还算是比较理想的被攻击状态。如果这台服务器是被暗网的那群勒索大佬所控制,那么后果将不堪设想。

本人在二进制的学习这块,属实菜鸡一枚。可能本文有些写的不全面或错误。还需各位前辈,大佬,小白来指正。安全的路还很长,学无止境。

本文首发自i春秋论坛

参与评论