Necurs僵尸网络再次肆虐,威力强大可进行DDoS攻击pc软件 文章资讯 手机软件
您当前的位置→图文中心新闻资讯安全播报Necurs僵尸网络再次肆虐,威力强大可进行DDoS攻击

Necurs僵尸网络再次肆虐,威力强大可进行DDoS攻击


2017/3/13  编辑:admin 来源:本站整理   
Necurs僵尸网络net再次肆虐, 威力强大可来进行DDoS攻击。 Necurs僵尸网络net是世界上最大的恶意网络net之一, 曾经用于传播各种致命威胁, 但是就在很长一段时间内它都没有再出现过, 似乎是已经消失了。 然而现就在, 它又回来了, 已知的主要功能是发送send大量垃圾无用文件邮件, 这里面最引人注目的是Locky勒索软件。 然而, Necurs并不只只是一个垃圾无用文件邮件程序, 它是一个模块化的恶意软件, 包含了一个主僵尸网络net模块、一个用户级Rootkit, 并且它可以能够动态加载其它模块。 几年以来, 已经有很多对它的研究, 包括它的Rootkit(1、2、3)、DGA、通信协议和垃圾无用文件邮件模块, 然而, 除了它的垃圾无用文件邮件模块, 其它模块没有太多的公共信息。 几个月之前, 我们我自己就在一些被Necurs感染的系统system中提醒一定要注意到, Necurs除了使用常用的80通信端口以外, 它还使用了一个IP集和多个不同的端口, 它的通信协议似乎发生了变化, 下图显示了该网络net流量的示例:
最近, 就在Necurs僵尸网络net的一个解密的C2通信数据信息中, 我们我自己观察到了一个请求, 目的是加载两个不同的模块, 每一个模块包含了不同的参数列表。 下图是解密的C2服务器响应数据信息包:
上半部分是C2服务器对垃圾无用文件邮件模块的响应数据信息, 这是Necurs的知名模块, 参数是C2服务器的地址(链接), 可以能够从该地址上接收到新垃圾无用文件邮件活动系列的通知。 下半部分是C2服务器对一个未知模块的响应数据信息, 可以通过判断响应数据信息中的参数值, 我们我自己看到它使用了5222端口。 我们我自己是就在2016年9月提醒一定要注意到这个模块的, 该模块的编译时间是“2016年8月23日”, 这个时间表明该模块是从这个时候现在开始应用的。 当然, 也有有可能相同模块的另一个版本就在以前部署过, 只是没有被提醒一定要注意到。 我们我自己下载了该模块, 并对它来进行逆向分析, 试图了解它到底实现了什么功能。 第一眼看上去, 它好像是一个不复杂的SOCKS/HTTP代理模块, 但是当我们我自己看到该僵尸程序可以能够接收C2服务器的命令时, 我们我自己意识到这是一个新添加的命令, 它可以能够引起僵尸主机向任意目标无限循环的发送sendHTTP或UDF请求, 这种方式只能解释为是DDOS攻击。 考虑到Necurs僵尸网络net的规模很大, 这将是非常有趣的, 规模这么大的僵尸网络net有可能会产生强大的DDOS攻击力。 有请求需要提醒一定要注意的是我们我自己还没有看到Necurs被用于DDOS攻击, 我们我自己只是就在它加载一个模块中看到了它有这种能力。 接下来的内容里, 我们我自己会对该模块来进行技术分析, 详细介绍说明它的C2协议、SOCKS/HTTP代理功能、和DDOS攻击功能。 一、模块启动/初始化当该模块被僵尸程序加载后, 它会执行以下初始化操作:1.对参数来进行解析, 并将解析结果存储到一个内部C2地址列表中。 2.用以下信息填充一个内存数据信息结构(下图中的botsettings数据信息结构), 它包含了以下信息:僵尸主机ID:根据记录收集的独特系统system信息产生的唯一标识。 内部IP地址:可以通过检查出站套接字连载google.com时所用的IP地址。 外部IP地址:可以通过ipv4.icanhazip.com或checkip.dyndns.org网站得到的主机外部IP地址。 可用带宽:可以通过从微软下载Windows 7 Service Pack 1文件程序来测量下载速度。 SOCKS/HTTP代理服务端口:大于1024的一个随机监听端口。 3.检查系统system是否运行就在NAT后面:可以通过检查出站套接字IP地址是否与本地地址、外部地址相匹配。 如果系统system没有就在NAT后面, 该僵尸程序会启动一个SOCKS/HTTP代理服务, 监听一个大于1024的随机端口。 botsettings的数据信息结构如下图:
二、C2通信协议就在初始化之后, 该僵尸程序会循环进入主C2连载过程, 除非另有指令, 否则, 就在这个过程中, 它会每隔10秒钟尝试连载一次当前C2服务器, 如果连载当前的C2服务器失败了, 它会尝试连载C2地址列表中的下一个C2服务器。 该通信协议代码是二进制的, 并且使用了自已来定义算法来进行了加密/模糊。 发送send到服务器的信息(消息)采用了相似的数据信息结构(请看下图中botmsg和c2msg结构), 并包含了下面的数据信息:1.密钥:32位加密密钥。 2.加密头:消息本身的一个被加密的头部数据信息结构(下图中botmsgheader和c2msgheader结构), 里面的信息用密钥加密了, 包含了以下信息:消息类型:定义了发送send的消息/命令类型, 大小为1字节。 载荷长度:发送send的载荷长度。 头部HASH:代表了消息中第一字节的HASH值(key,msgtype,unknown和datalength)。 数据信息HASH:载荷的HASH, 用于检查数据信息的完整性。 3.加密的载荷:一组被发送send的数据信息, 用密钥的反向值加密过。
这就是僵尸程序发送send到C2服务器的三种类型的消息, 可以能够可以通过头部信息中的msgtype字节来区分它们。 通常, 有以下三种类型的消息:1.信标(msgtype 0):这是僵尸程序每10秒钟发送send会给C2服务器的主要消息, 该消息的结构是前面提到过的botsettings结构。 2.连通性检查(msgtype 1):这是一个不复杂的虚拟消息, 除了加密的消息头, 不包含其它数据信息。 这个消息是就在僵尸程序连载C2服务器超时时发送send的, 目的是查看当前C2服务器还能不能够用。 3.代理回连(proxybackconnect)(msgtype 2):就在僵尸主机收到C2的启动socks回连命令时, 僵尸主机会建立到C2服务器的连载, 并给C2服务器发送send这条消息, 并且会将发送send这条消息时建立的套接字(复用该套接字)直接用到SOCKS/HTTP代理连载中, 这样做的好处是连载发起动作看起来就像是代理客户端发起的。 作为信标的响应包, C2服务器发送send给僵尸程序的消息(或命令)也有三种类型, 也可以能够可以通过头部信息中的msgtype字节来区分它们:1.现在开始回连代理(start proxybackconnect)(msgtype 1):起初, 僵尸主机给C2服务器发送send一个代理回连(proxybackconnect)消息, 之后, C2服务器给僵尸主机发送send这条(start proxybackconnect)消息, 告诉僵尸主机现在开始回连代理会话。 该会话的套接字将会被重用, 允许作为一个代理被僵尸程序使用, 即便僵尸主机就在防火墙之后, 并且没有建立到它的直接连载。 2.睡眠(msgtype 2):这会使僵尸主机睡眠5分钟。 3.现在开始DDOS(msgtype 5):该命令下达后, 会对消息有效负载中指定的目标现在开始来进行DDoS攻击, 攻击活动系列有两种模式:HTTP洪水攻击:如果消息载荷的前几个字节是“http:/”, 僵尸程序会对目标启动HTTP洪水攻击。 UDP洪水攻击:如果消息载荷的前几个字节不是“http:/”, 僵尸程序会对目标启动UDP洪水攻击。 三、代理功能该SOCKS/HTTP代理服务和命令, 允许僵尸网络net拥有者将该僵尸主机作为一个代理(HTTP,SOCKSv4和SOCKv5协议)来使用, 并使用两种操作模式来来进行中继连载(直接代理和回连代理)。 就在直接代理模式下, 客户端会连载代理服务, 然会代理服务会将连载转向到目的地, 如下图所示:
这只有就在僵尸主机没有受到NAT和防火墙保护时才有有可能, 这种情况就在大多数僵尸网络net中是不行的。 就在代理回连模式下, 客户端会连载到代理控制器, 之后会从代理控制器的可用代理池中获得一个出站代理, 并可以通过它来来进行连载中继。 如下图所示:
这种操作模式有几个优点。 最大的一个优点是, 即便被感染的系统system运行就在NAT后面也能正常工作, 并且, 这将允许僵尸网络net能连载到内部网络net资源中, 就好像是来自内部机器的连载。 这种代理的另一个常见用法是可以能够频繁的变换IP地址, 方法是可以通过频繁和全自动的改变僵尸主机的配置(充当代理的僵尸主机)。 简要的看一下这种代理方法是怎么才能实施的, 下图显示的是该C2命令处理函数的一部分:
就在僵尸程序收到C2发来的“现在开始回连代理”(startproxybackconnect)命令时(msgtype 1), 僵尸程序会向C2服务器发送send一个“回连代理”(proxybackconnect)命令(msgtype 2), 之后, C2服务器会使用相同的套接字(该套接字所就在的连载是僵尸主机给C2服务器发送sendproxybackconnect命令的套接字), 并进入到startprocessincoming函数(请看上图)中处理实际的代理工作。 这意味着用于连载C2服务器的通信连载同一个时间也被用于了代理连载中。 Processincomming函数会从传入连载中读取2字节(直接代理或可以通过回接代理), 之后, 它会检查前面的值是否是5(SOCKSv5)、4(SOCKSv4)、或包含数字和字母(HTTP代理)之后, 它会调用每个支持协议的相应函数, 去处理实际的代理工作。
四、DDOS攻击功能DDOS攻击方法有可能是该模块最有趣、最意想不到的一个功能, 这个模块只包含了两个可以说是的DDOS攻击方法, 没有类似于“源IP地址欺骗”或“放大技术”的特殊功能。 然而, 考虑到Necurs僵尸网络net的规模(每24小时有超过100万个活性IP), 即便是最可以说是的技术也能产生非常强大的攻击力。
相关文章
  • iPhone8和三星S8哪个好?哪个更好用
  • 微信显示IPhone8技巧,微信朋友圈怎么显示来自iPhone8
  • 苹果8怎么购买?iphone8抢购攻略
  • dhmachinesvc.exe是什么进程,如何关闭dhmachinesvc.exe
  • iPhone8外形出炉,快来围观
  • iTunes如何取消电脑授权的方法?教你用iTunes取消电脑授权
  • iPhone8 还没发布就出现严重问题 !
  • 苹果手机怎么恢复删除短信?iPhone被删除短信还能找回吗
  • 苹果手机怎么恢复微信聊天记录?教你快速找回iPhone微信记录
  • 升级苹果iOS11 Beta3“设置”IPHONE手机全变英文怎么解决
  • 发表评论
    阅读排行
    1. 动网论坛(DVBBS)usersms.asp 漏洞...
    2. 日本在上周发生严重的网络故障,...
    3. Necurs僵尸网络再次肆虐,威力强...
    4. IIS7.0畸形解析漏洞通杀0day
    5. “七月终结者”关闭安全工具
    6. 机器狗、犇牛病毒再现
    7. 帝国CMS留言板漏洞
    8. Ok3w新闻发布系统漏洞分析
    9. 7月15日病毒播报
    10. cyask的一个本地读文件的漏洞利用...
    相关热门
    1. mercury水星u3驱动安装教程及资源
    2. 三星I9100连上电脑的Kies,提示"Your device's current firmware version is not supp...
    3. 【小箘观VR】谈谈Oculus的焦曲面显示屏
    4. Necurs僵尸网络再次肆虐,威力强大可进行DDoS攻击
    5. Focusky设置面板在哪
    6. 酷特简谱作曲家下载|酷特科技CuteMIDI简谱作曲家v8.50
    7. secureCRT按回车键全屏的解决方法
    8. NVIDIA CUDA显卡加速技术加速视频转换
    9. 免费获得ESET Smart Security 5(ESS5)正版ID的方法
    10. 微软将发布免费杀毒软件Microsoft Security Essentials
    网站帮助 - 广告合作 - 下载声明 - 网站地图
    88lifa