nitol(nitori)

安天-捕風(fēng)

1. 介紹

對(duì)Trojan[DDoS]/Win32.Nitol.C（下簡(jiǎn)稱(chēng)：Nitol.C）有所了解的反病毒研究人員或許都知道，Nitol最先是由鬼影工作室開(kāi)發(fā)并通過(guò)某渠道將源碼對(duì)外公開(kāi)，致使網(wǎng)絡(luò)上出現(xiàn)多種不同協(xié)議的Trojan[DDoS]/Win32.Nitol（下簡(jiǎn)稱(chēng)：Nitol）版本，所以國(guó)內(nèi)又稱(chēng)“鬼影DDoS”。Nitol 家族是目前活躍在Windows環(huán)境下的主要botnet之一。大多數(shù)Nitol家族的衍生版本都有一個(gè)比較顯著的特點(diǎn)是使用了lpk.dll劫持，通過(guò)lpk.dll劫持實(shí)現(xiàn)將樣本在受害設(shè)備上進(jìn)行多磁盤(pán)橫向備份感染，達(dá)到了長(zhǎng)期潛伏于受害系統(tǒng)并遠(yuǎn)程操縱攻擊的目的。Nitol“狼藉”江湖多年，發(fā)展至今已經(jīng)有8+不同協(xié)議的衍生版本，且據(jù)監(jiān)控到的威脅情報(bào)顯示，這些Nitol家族組成的botnet每天都會(huì)對(duì)互聯(lián)網(wǎng)上的某個(gè)目標(biāo)發(fā)起攻擊，嚴(yán)重威脅互聯(lián)網(wǎng)的安全！這里主要講的是Nitol家族的Nitol.C衍生版本（見(jiàn)圖1-1 生成器界面），一個(gè)Nitol家族衍生版本的韓國(guó)僵尸網(wǎng)絡(luò)及其威脅情報(bào)。

圖1-1 生成器界面

2. 基本信息

表1-1 樣本基本信息

病毒名稱(chēng)

Trojan[DDoS]/Win32.Nitol.C

樣本MD5

a48478dd55d8b099409bb829fb2b282f

樣本大小

59KB

樣本格式

Exe

3. 傳播方式

從目前監(jiān)控到的威脅情報(bào)看，Nitol.C的傳播和感染方式主要有兩個(gè)：

通過(guò)自動(dòng)化批量IP網(wǎng)段漏洞利用，植入被控端木馬。2017年上半年黑產(chǎn)最為流行的Windows自動(dòng)化利用工具是"永恒之藍(lán)"和st2，其中Nitol.C也存在使用這種自動(dòng)化“抓雞”方式進(jìn)行部署botnet。

通過(guò)已有的botnet進(jìn)行交叉感染。在已經(jīng)部署的其他botnet上，通過(guò)批量執(zhí)行遠(yuǎn)程下載命令（見(jiàn)圖3-1 批量執(zhí)行遠(yuǎn)程執(zhí)行指令）進(jìn)行快速植入韓版掛馬站點(diǎn)webshare（見(jiàn)圖3-2 webshare 掛馬站點(diǎn)）的Nitol.C被控端木馬。

圖3-1 批量執(zhí)行遠(yuǎn)程執(zhí)行指令

圖3-2 webshare 掛馬站點(diǎn)

安天-捕風(fēng)在自動(dòng)化監(jiān)控Nitol.C系列botnet時(shí)，也捕獲到近百個(gè)上述類(lèi)似的webshare掛馬站點(diǎn)，見(jiàn)圖3-2捕獲的webshare站點(diǎn)：

圖3-3 捕獲的webshare站點(diǎn)

4. 樣本詳細(xì)分析

從圖1-1 獲得的情報(bào)看（控制端-生成器界面、生成被控端的默認(rèn)文件名稱(chēng)為“鬼影”拼音首寫(xiě)字母，且和“國(guó)產(chǎn)”版Nitol的重合），該家族確為Nitol家族的衍生版 。但是Nitol.C并沒(méi)有真正的繼承Nitol家族的所有攻擊模式，只具備syn flood、tcp flood、http flood三大攻擊向量。

1)樣本備份和實(shí)現(xiàn)自啟動(dòng)功能。

見(jiàn)圖4-1 樣本備份。木馬運(yùn)行時(shí)首先驗(yàn)證注冊(cè)表項(xiàng)的互斥量值“Serpiei”存在與否來(lái)鑒定自己是否第一次運(yùn)行，如果第一次運(yùn)行，木馬會(huì)進(jìn)行備份并根據(jù)設(shè)置決定是否實(shí)現(xiàn)自啟動(dòng)功能。

圖4-1 樣本備份

2) C2配置解密。

通過(guò)讀取存放.data區(qū)段的全局變量得到C2密文，進(jìn)行ba64+凱撒+異或三重解密獲取真實(shí)的C2。見(jiàn)圖4-2C2配置解密：

圖4-2 C2配置解密

3) 與C2建立通信連接，獲取系統(tǒng)配置信息，向C2發(fā)送首包。見(jiàn)圖4-3 與C2建立通信：

圖4-3 與C2建立通信

4) 等待接收并執(zhí)行C2遠(yuǎn)程指令。Nitol.C被控端主要實(shí)現(xiàn)的是互斥量釋放、cmd shell、樣本下載、DDoS攻擊4種遠(yuǎn)程指令，其中主要執(zhí)行的還是DDoS攻擊。見(jiàn)表4-1 遠(yuǎn)程指令類(lèi)型：

表4-1 遠(yuǎn)程指令類(lèi)型

名稱(chēng)

偏移

協(xié)議值

備注

樣本下載

0x0000-0x0004

0x10

互斥量釋放

0x0000-0x0004

0x12、0x06

Cmd shell

0x0000-0x0004

0x14

DDoS 攻擊

0x0000-0x0004

0x02、0x03、0x04

主要實(shí)現(xiàn)3大攻擊向量：

0x02==>tcp flood

0x03==>http flood

0x04==>syn flood

5.電信云堤“肉雞”情報(bào)反饋

據(jù)電信云堤可靠數(shù)據(jù)反饋，Nitol.C系列的botnets中有大量“肉雞”潛伏在中國(guó)境內(nèi)，而目前了解這些“肉雞”的來(lái)源主要有2個(gè)：

通過(guò)地下網(wǎng)絡(luò)黑產(chǎn)進(jìn)行“肉雞”收購(gòu)。

通過(guò)漏洞利用工具進(jìn)行批量抓雞。也說(shuō)明國(guó)內(nèi)很多設(shè)備疏于維護(hù)，漏洞未能及時(shí)修補(bǔ)。

6.安天-捕風(fēng)攻擊情報(bào)

Nitol.C系列樣本，安天-捕風(fēng)在2017年6月初開(kāi)始分類(lèi)檢出并進(jìn)行自動(dòng)化監(jiān)控。監(jiān)控Nitol.C系列的攻擊情報(bào)結(jié)果顯示，截至2017年9月12日Nitol.C的主要C2基本部署于韓國(guó)（占95.7%），共發(fā)起間歇性DDoS攻擊1,249次，制造298起DDoS攻擊事件，而主要攻擊目標(biāo)也基本分布于韓國(guó)（占93.86%），攻擊類(lèi)型主要使用syn flood（占98.68%）攻擊模式，其主要攻擊事件的時(shí)間集中于2017年6月19日——2017年7月3日之間。見(jiàn)圖6-1- Nitol.C攻擊時(shí)間分布：

圖6-1 Nitol.C攻擊時(shí)間分布

表5-1攻擊情報(bào)，是最新Nitol.C的前20 DDoS攻擊情報(bào)。

表5-1攻擊情報(bào)

攻擊目標(biāo)

攻擊類(lèi)型

攻擊目標(biāo)地域

攻擊開(kāi)始時(shí)間

攻擊者地域

備注

182.212.47.244

syn flood

韓國(guó)

2017-09-10 19:58:14

韓國(guó)

116.40.152.152

syn flood

韓國(guó)

2017-09-09 15:43:36

韓國(guó)

49.163.23.181

syn flood

韓國(guó)

2017-09-08 22:14:38

韓國(guó)

221.140.27.229

syn flood

韓國(guó)

2017-09-04 18:52:15

韓國(guó)

211.215.157.93

syn flood

韓國(guó)

2017-09-03 20:12:35

韓國(guó)

114.200.68.5

syn flood

韓國(guó)

2017-09-03 01:28:08

韓國(guó)

118.220.182.136

syn flood

韓國(guó)

2017-09-01 18:55:34

韓國(guó)

218.39.179.123

syn flood

韓國(guó)

2017-09-02 11:11:13

韓國(guó)

112.167.225.197

syn flood

韓國(guó)

2017-09-01 20:05:49

韓國(guó)

175.113.66.108

syn flood

韓國(guó)

2017-09-01 20:05:14

韓國(guó)

183.102.11.172

syn flood

韓國(guó)

2017-08-29 16:30:50

韓國(guó)

182.226.0.191

syn flood

韓國(guó)

2017-08-27 15:25:14

韓國(guó)

103.23.4.115

syn flood

日本

2017-08-26 22:06:29

韓國(guó)

59.14.20.109

syn flood

韓國(guó)

2017-08-26 21:38:31

韓國(guó)

49.142.213.168

syn flood

韓國(guó)

2017-08-26 15:34:56

韓國(guó)

120.50.134.85

syn flood

韓國(guó)

2017-08-26 15:32:09

韓國(guó)

14.46.109.30

syn flood

韓國(guó)

2017-08-26 14:59:13

韓國(guó)

222.122.48.49

syn flood

韓國(guó)

2017-08-26 01:05:30

韓國(guó)

175.212.35.110

syn flood

韓國(guó)

2017-08-20 19:22:40

韓國(guó)

125.180.190.31

syn flood

韓國(guó)

2017-08-22 20:51:57

韓國(guó)

近日，有媒體再次炒作因?yàn)槟硢?wèn)題，韓國(guó)多個(gè)政府部門(mén)遭到來(lái)自中國(guó)的DDoS攻擊。對(duì)此不禁要問(wèn)：通過(guò)攻擊流量的來(lái)源就可以鑒定真正的攻擊幕后了嗎？DDoS 攻擊中“肉雞”也是其中的受害者，要鑒定真正的DDoS攻擊幕后不是依據(jù)攻擊流量的來(lái)源，而是依據(jù)控制整個(gè)botnet的C2的操縱者。根據(jù)監(jiān)控到的攻擊威脅情報(bào)顯示，自2017年1月1日至2017年9月12日，（監(jiān)控到的）全球共發(fā)生125,604,685次間歇性DDoS攻擊（見(jiàn)圖 6-2全球DDoS攻擊威脅情報(bào)），攻擊目標(biāo)是韓國(guó)的有102,730次，僅占據(jù)總攻擊次數(shù)的0.08178%，而發(fā)起間歇性DDoS攻擊韓國(guó)的C2主要來(lái)自于美國(guó)的約60%，其次是韓國(guó)本身約30+%，而來(lái)自中國(guó)和日本的僅占10%不到；C2位于韓國(guó)發(fā)起的間歇性DDoS攻擊有3,390,321次，占據(jù)總攻擊次數(shù)的2.670%；C2位于韓國(guó)發(fā)起的間歇性DDoS攻擊是攻擊目標(biāo)位于韓國(guó)的33倍；C2位于韓國(guó)向中國(guó)境內(nèi)發(fā)起的間歇性DDoS攻擊是3,100,239次，占據(jù)C2位于韓國(guó)發(fā)起的間歇性DDoS攻擊的94.14%，很直白的說(shuō)明C2位于韓國(guó)的botnet主要攻擊對(duì)象是中國(guó)境內(nèi)目標(biāo)；C2位于中國(guó)向韓國(guó)地域發(fā)起的間歇性DDoS攻擊是37,015次，僅占據(jù)C2位于中國(guó)發(fā)起攻擊量的0.07638% （37,015/48,461,408）。所以，這個(gè)鍋，中國(guó)黑客到底背不背呢？You known！I known！

圖 6-2 全球DDoS攻擊威脅情報(bào)

7.總結(jié)

無(wú)論何情何理，未經(jīng)授權(quán)肆意發(fā)起DDoS攻擊都是不可取，通過(guò)DDoS攻擊手段進(jìn)行敲詐勒索更是違法行為！近些年來(lái)，大影響DDoS攻擊事件越發(fā)頻發(fā)，攻擊流量也逐次刷新歷史新高。DDoS botnet的“肉雞”從單一的Windows環(huán)境延伸到Linux環(huán)境，現(xiàn)在也拓展到了IoT產(chǎn)業(yè)；DDoS botnet的控制端同樣也從只兼容單一環(huán)境類(lèi)型的“肉雞”到完善兼容多環(huán)境類(lèi)型的“肉雞”；DDoS botnet的拓展也實(shí)現(xiàn)漏洞自動(dòng)化利用進(jìn)行“抓雞”，達(dá)到了快速部署botnet并成型的效果。這些情況也都說(shuō)明如今的大部分botnet所掌控的“肉雞”量已經(jīng)遠(yuǎn)遠(yuǎn)不止幾千或上萬(wàn)臺(tái)，每個(gè)botnet擁有的攻擊能力都遠(yuǎn)遠(yuǎn)超于常人的想象，更何況根據(jù)監(jiān)控到的情報(bào)顯示，每次大型的DDoS攻擊事件都是以組合“打怪”模式進(jìn)行多個(gè)botnet組合攻擊。從多維度分析表明，DDoS 攻擊雖然是無(wú)害攻擊，但也嚴(yán)重威脅了互聯(lián)網(wǎng)的正常發(fā)展，對(duì)抗互聯(lián)網(wǎng)的DDoS攻擊，為互聯(lián)網(wǎng)安全發(fā)展保駕護(hù)航的使命仍然任重而道遠(yuǎn)！

在此，也提醒廣大互聯(lián)網(wǎng)用戶(hù)安全、健康上網(wǎng)，文明使用網(wǎng)絡(luò)，安裝殺毒、防毒軟件并及時(shí)修補(bǔ)設(shè)備漏洞！

附錄：參考資料

參考鏈接：

[1] http://m.bobao.360.cn/learning/appdetail/4318.html

MD5:

a48478dd55d8b099409bb829fb2b282f