NO.62 | 2019.12.31
banner
title有備而來 友善列印>>
【情資案例調查報告】變種殭屍網路Dofloo潛藏的黑雀攻擊_資通安全組

一、案例背景說明
  
  Dofloo是一款支持ARM、X86等多CPU架構的殭屍網路惡意程式。2014年因曾在北美洲和亞洲多個國家進行高達215 Gbps 流量的攻擊而聲名大噪。此外,Dofloo與Mirai殭屍網路共同參與雲端公司OVH的攻擊活動,攻擊流量超過1Tbps,創下DDoS攻擊歷史紀錄。同年10 月再次參與了Mirai殭屍主導的攻擊活動,針對域名服務商Dyn展開大規模DDoS攻擊,致使美國東海岸網路服務一時處於癱瘓的狀態。2019年4月,Dofloo開始用最新的遠程代碼執行漏洞CVE-2019-3396並進行大面積傳播,攻陷相當多網路設備。[1]

二、案例研究說明
  
  研究人員透過分析Dofloo的樣本發現,此惡意程式除會與攻擊者本身的C&C伺服器進行連線外,還會與固定的另一組 C&C伺服器進行連線,進一步分析後判定為「黑雀攻擊」。「黑雀攻擊」是一種高端的駭客攻擊手法,其手法是由上游的駭客在釋出惡意程式的同時,將自己的C&C伺服器位址一同寫入程式內,藉此利用與控制下游駭客的資源,以快速獲取攻擊成果。因為這種黑吃黑的食物鏈宛如螳螂捕蟬黃雀在後,故命名為「黑雀攻擊」。

  於Dofloo樣本中發現,該惡意程式確實寫入了與其他後門連線的相關指令與功能,並分析出控制下游駭客的相關函數。如圖1所示,上游駭客(以下簡稱黑雀)的C&C伺服器位址為183.60.149.199,並由圖2中的兩個函數Z9backdoorAPv、    _Z14_ConnectServer對下游駭客(以下簡稱螳螂)進行連線與控制。
 

圖1:黑雀的C&C伺服器位址
(圖片來源:本中心分析整理)
 
 

圖2:控制螳螂的函數
(圖片來源:本中心分析整理)

  為了使殭屍程式持續存在於受害主機內,Dofloo會透過寫入開機啟動命令達到永久植入的效果,如圖3所示,如此一來惡意程式在該設備重啟後仍然能夠啟動與運行。
 

圖3:殭屍程式永久植入指令
(圖片來源:本中心分析整理)

  Dofloo透過對比系統中運行的進程名稱來確保運行的唯一性,避免受害主機上的其他惡意程式影響攻擊能量(如圖4);除此之外,Dofloo傳送控制指令是使用AES加密,因此大幅增加監控和識別控制指令流量的難度。
 

圖4:確認並刪除入侵主機上是否有其他惡意程式
(圖片來源:本中心分析整理)

  惡意程式在受害主機安裝完成後,開始蒐集各種系統資訊,如:Kernel版本、CPU頻率、硬碟空間大小、網路頻寬等資訊,並利用心跳機制(heartbeat mechanism)的封包將資料傳送至C&C伺服器,如圖5所示。
 

圖5:殭屍程式發送的心跳封包信息
(圖片來源:Seebug Paper)

  在分析攻擊函數的同時,亦發現一個較少見的功能,Dofloo將其命名為fake_net_speed函數,該功能可偽造下游駭客的攻擊流量,並根據不同的攻擊方式限制DDoS速率,如圖6所示。
 

圖6:偽造螳螂攻擊流量的函數
(圖片來源:本中心分析整理)

  Dofloo共有12種不同的攻擊方式,除了一般常見的TCP、UDP DDoS,針對DNS的攻擊也占了相當高的比例,由此驗證DNS之相關主機更需要加強防護。
 
攻擊方式函數 攻擊方式
TCP_Flood TCP攻擊
UDPS_Flood DNS洪水攻擊
CC2_Flood HTTP洪水攻擊
CC3_Flood HTTP洪水攻擊
CC_Flood HTTP洪水攻擊
UDP_Flood UDP攻擊
LSYN_Flood 攜帶數據的SYN攻擊
SYN_Flood SYN攻擊
DNS_Flood3 DNS攻擊
DNS_Flood2 隨機生成Domin對DNS攻擊
DNS_Flood1 隨機生成IP對DNS攻擊
DNS_Flood4 DNS反射放大攻擊
表1:Dofloo的攻擊方式
(資料來源:本中心分析整理)

三、駭客攻擊流程與手法

下圖7為本團隊整理駭客攻擊流程與方式,步驟說明如下:
  1. 螳螂遠端控制C&C Server進行攻擊
  2. 透過漏洞CVE-2019-3396植入Dofloo惡意程式
  3. 將受害者主機內的資訊回傳至下游駭客的C&C Server
  4. 使用AES加密過的命令發動12種不同協定的DDoS進行攻擊
  5. 黑雀不定期利用已感染的Bot主機進行DDoS攻擊或進行其他惡意活動

圖7:Dofloo攻擊流程與方式
(圖片來源:本中心分析整理)

四、    Indicators of Compromise(IoCs)資訊

  本章節分享此惡意程式之入侵指標(Indicator of Compromise, IoC)檢測,包含關聯的SHA256、IP、SHA1、URL、 MD5入侵指標以利各通傳業者分析情資加強資安防護,詳見表2~4。
 
編號 關聯MD5
1 220614c2559b7df2b7c7145cf2ed4da2
2 37a89f3b509ffde9a8c87afc81db1b93
3 3940d05ca512fc43383f80300e366acb
4 42c2d51793a0dbdaa149d5264aee2cdf
5 4a0f819b173cc2b5c657a6797acbdf20
6 4ad9db55fabd3d3b971e33133c7e4bdb
7 58c30f427fdec40ec9fba3f89e74f096
8 5b3c695172cd51e6d904ecaaf68bbc22
9 63a5a0c174c4a0cae099391d53d72bba
10 74702753aad2ebd93cd0e9e88bb3f7cd
11 7484943dde101157ef1cd7a33c278993
12 791ea311f3553e0121793ef6cc4a1ac9
13 8337f89ff0e9947103a7bf8689aece19
14 83d111a34320beb258ee981331793401
15 b02f8ada016c809ab51af012e3fec5cd
16 c3736eb80c9609032775d3690a7151ae
17 c86992b44f48bb1451add317c126f8e5
18 d01d2a04de0468c401160b563593b5b9
19 d8cbba4cdee88c49e11fa73307e24ed0
20 f2f16b0d4ecd846e310e211d7d162995
表2:Dofloo殭屍網路關聯MD5
(資料來源:本中心分析整理)
 
編號 關聯IP
1 118.193.217.144
2 43.226.34.133
3 183.60.149.199
4 49.260.142.114
5 43.224.249.71
6 162.251.95.20
7 50.118.225.119
8 221.194.44.194
9 103.240.183.121
10 123.249.45.135
11 123.249.45.181
12 171.92.208.24
13 180.97.215.94
14 45.125.13.145
15 150.129.217.81
16 43.252.231.202
17 123.249.3.214
18 101.201.28.233
19 171.98.208.24
20 58.221.58.89
21 103.223.17.44
22 58.221.58.89
表3:Dofloo殭屍網路關聯IP
(資料來源:本中心分析整理)
 
編號 關聯URL
1 wap.tfddos.net
2 aaa.tfddos.net
表4:Dofloo殭尸網路關聯URL
(資料來源:本中心分析整理)

五、整體建議與總結

  本次分析證實「黑雀攻擊」的存在及潛在危害,儘管少數變種Dofloo已刪除黑雀的後門程式,但絕大多數的樣本仍存在於此類後門程式,因此黑雀仍可以定期對下游進行資源收割。由此判斷,黑雀除了擁有相當高明的技術外,也同時握有豐富的攻擊資源,常見的攻擊工具如:WEB Sehll攻擊工具、蠕蟲木馬攻擊工具、密碼暴力破解等,也可能存在「黑雀攻擊」。因此企業在使用開源軟體或工具時,資安人員應多加留意並分析工具的來源以及安全性。在導入企業內部前應先進行原碼檢測,而導入後也建議定期觀察與追蹤,確保不被黑雀的後門攻擊手法所利用,避免引狼入室造成嚴重的資安危害。

  為避免遭到駭客組織的攻擊,通傳業者可採取以下保護措施,避免系統遭受潛在威脅之攻擊,例如:
  1. 確認企業伺服器與系統已修補遠程代碼執行漏洞CVE-2019-3396。
  2. 評估報告中之入侵威脅指標(IoCs)並納入防護監控規則,以強化資安防護設備之防禦能力。
  3. 使用開源軟體或工具,資安人員須確保開源工具的來源以及安全性。
  4. 使用開源軟體或工具應先進行原碼檢測,確認工具的安全性,避免黑雀攻擊造成企業損失。
 
參考資料:Seebug Paper,https://paper.seebug.org/941/