摘要:到目前為止,騰訊反病毒實驗室發現的暗云攻擊目標大多為各類棋牌游戲服務器。
【關鍵詞:騰訊御安全,APK漏洞掃描,APP保護,Android防破解】
前面對暗云的分析報告中,騰訊電腦管家安全團隊和騰訊御安全基本摸清暗云Ⅲ的感染方式和傳播方式,也定位到被感染暗云Ⅲ的機器會在啟動時從服務端下載任務腳本包——ndn.db文件,且該文件會常進行更換。此外,撰寫本文的同時,騰訊御安全也收集到多個不同功能的ndn.db文件,以下騰訊御安全將對暗云Ⅲ危害展開具體分析。
0x01 暗云payload行為分析
在解析db文件前,先過一次暗云payload行為:
木馬每5分鐘會聯網下載一次配置文件 http://www.acsewle.com:8877/ds/kn.html
該html是個配置文件,木馬會檢查其中的版本號,并保存,其后每次都會比較,以確定是否更新。
如果有更新,則下載新版本,并根據配置下載文件執行或者創建svchost.exe傀儡進程執行。
木馬干活模塊lcdn.db其實為lua腳本解析器,主要功能下載任務db,進而解析執行:
0x02 任務腳本文件結構
通過分析,得知ndn.db的文件結構,大致如下:
struct f_db{
DWORD fileLen; // lua腳本bytecode文件大小
DWORD runType; // 運行類型 char fileName[24]; // lua腳本文件名 char fileData[fileLen]; // lua腳本bytecode內容
}
如下圖中,紅色框為文件大小,灰色框為運行類型,藍色框為文件名,紫色框為真實的bytecode內容。
根據文件結構,進而可從ndn.db中提取到多個lua腳本的bytecode。
0x03 任務腳本功能分類
分析得知,其使用的lua版本為5.3,是自行更改過虛擬機進行編譯。使用普通反編譯工具反編譯后,只能得到部分可讀明文,經過分析統計可知道暗云Ⅲ現有發布的功能大致有以下幾類:
1、統計類
解密得到的111tj.lua腳本,實則為參與攻擊機器統計腳本。
該腳本主要作用為:每隔五分鐘,帶Referer:http://www.acsewle.com:8877/um.php訪問cnzz和51.la兩個站點統計頁面,以便統計參與攻擊的機器數及次數。
統計頁面地址為:
http://c.cnzz.com/wapstat.php...
http://web.users.51.la/go.asp...
訪問流量:
2、DDoS類
??這類腳本,簡單粗暴,直接do、while循環,不停地對目標服務發起訪問。如下為dfh01.lua中代碼,其目標是針對大富豪棋牌游戲。
L1_1.get = L4_4
L4_4 = {
"182.86.84.236",
"119.167.151.218",
"27.221.30.113",
"119.188.96.111",
"113.105.245.107"
}
while true do
url = "http://" .. "web.168dfh.biz" .. "/"
L1_1.get(url)
url = "http://" .. "web.168dfh.cn" .. "/"
L1_1.get(url)
url = "http://" .. "web.168dfh.top" .. "/"
L1_1.get(url)
end
??又如,dfhcdn01.lua中:
while true do
sendlogin("114.215.184.159", 8002)
sendlogin("114.215.169.190", 8005)
sendlogin("114.215.169.97", 8002)
sendlogin("121.41.91.65", 8005)
sendlogin("123.56.152.5", 8000)
sendlogin("121.199.2.34", 8002)
sendlogin("121.199.6.149", 8000)
sendlogin("121.199.15.237", 8002)
sendlogin("101.200.223.210", 17000)
sendlogin("121.199.14.117", 8002)
sendlogin("112.125.120.141", 9000)
sendlogin("123.57.32.93", 9000)
end
??再如,在new59303.lua中:
3、CC攻擊類
??解密得到的yiwanm001.lua腳本中,包含有各類UserAgent,在發起攻擊時,會隨機使用這些UserAgent來對目標網站發起訪問,此外該腳本還將監測是否跳轉到驗證碼頁面,并自動提取Cookie完成訪問。
??隨機UA:
獲取Cookie:
這個腳本攻擊的目標為m.yiwan.com。為了精確到指定目標,腳本中還寫死了兩個服務器ip。
L6_6= "http://139.199.135.131:80/"
L7_7= "http://118.89.206.177:80/"
攻擊流量截圖:
又如,攻擊腳本jjhm77.lua腳本中,從http://down.jjhgame.com/ip.tx...:
之后按照目標服務所需的特定格式構造隨機數據:
循環發送,開始攻擊:
0x04 危害及建議
??暗云自帶lua腳本解析器,攻擊全程文件不落地,具體需執行任務的db文件也是隨時在服務端更新發布,如此增大了殺軟查殺難度。坐擁上百萬的暗云控制端(數據來自:CNCERT[http://www.cert.org.cn/publis...]),已經可以不需要肉雞無間斷發起連接,即可完成大規模的指向性攻擊。如此的好處便是在用戶無感的情況下,占用用戶帶寬,完成攻擊。
??到目前為止,騰訊反病毒實驗室發現的暗云攻擊目標大多為各類棋牌、游戲服務器。截止當前,暗云控制端url已自行解析到127.0.0.1,下發url也已失效。但不確定暗云下一次開啟時,任務db文件中lua腳本不會是更加惡意的功能。
??所以,騰訊電腦管家建議用戶積極采取安全防范措施:
??1、不要選擇安裝捆綁在下載器中的軟件,不要運行來源不明或被安全軟件報警的程序,不要下載運行游戲外掛、私服登錄器等軟件;
??2、定期在不同的存儲介質上備份信息系統業務和個人數據。
??3、下載騰訊電腦管家進行“暗云”木馬程序檢測和查殺;
0x05 附錄(暗云攻擊過的ip地址及URL)
歷史攻擊過的IP列表:
114.64.222.26
103.254.188.247
114.64.222.27
60.5.254.82
60.5.254.81
60.5.254.47
218.29.50.40
218.29.50.39
60.221.254.229
60.221.254.230
122.143.27.170
182.106.194.83
27.155.73.17
27.155.73.16
125.89.198.29
182.106.194.84
111.47.220.47
111.47.220.46
111.20.250.133
123.128.14.174
106.59.99.46
116.55.236.92
218.5.238.249
106.59.99.47
117.27.241.114
117.27.241.181
14.215.100.76
113.12.84.24
113.12.84.23
14.215.100.75
112.90.213.51
112.90.213.52
58.223.166.19
122.5.53.120
122.5.53.121
58.51.150.40
219.146.68.119
114.80.230.238
114.80.143.223
114.80.230.237
112.25.83.28
120.221.25.169
120.221.24.125
117.148.163.80
112.25.83.29
120.221.24.126
117.148.163.79
182.140.142.40
118.123.97.16
118.123.97.17
220.165.142.221
182.140.142.39
218.76.109.67
222.243.110.83
222.243.110.82
120.221.25.170
113.5.80.249
218.60.109.79
113.5.80.248
218.60.109.80
58.51.150.52
122.246.17.9
120.199.86.132
122.228.30.147
122.228.30.38
122.228.11.175
116.211.144.70
218.11.0.9
118.178.213.63
116.211.168.169
116.31.100.147
116.31.100.3
116.31.100.144
116.31.100.148
116.31.100.170
122.246.17.15
116.211.144.240
116.211.144.129
116.211.144.242
116.211.144.206
116.211.144.238
116.211.144.239
116.211.144.219
114.215.184.159
114.215.169.190
114.215.169.97
121.41.91.65
123.56.152.5
121.199.2.34
121.199.6.149
121.199.15.237
101.200.223.210
121.199.14.117
112.125.120.141
123.57.32.93
182.86.84.236
119.167.151.218
27.221.30.113
119.188.96.111
113.105.245.107
139.224.32.159
139.224.68.202
139.224.35.106
139.196.252.62
139.224.35.175
139.196.252.245
139.224.33.199
139.224.68.48
139.224.35.132
139.196.252.61
139.224.35.188
139.199.135.131
118.89.206.177
歷史攻擊過的URL列表:
http://senios.138kkk.com
http://senand.138kkk.com
http://m.yiwan.com
http://oss.aliyuncs.com/uu919...
http://oss.aliyuncs.com/uu919...
http://senres.138kkk.com/sen/...
http://senres.138kkk.com/sen/...
http://58.51.150.52/sso/ios/f...
http://ssores.u2n0.com/sso/io...
http://pcupdate.game593.com/?...
http://senios.uts7.com
http://senand.uts7.com
http://139.199.135.131:80
http://118.89.206.177:80
0x06 參考文檔
[1] 暗云Ⅲ BootKit 木馬分析:http://www.freebuf.com/articl...
[2] 暗云Ⅲ木馬傳播感染分析:http://www.freebuf.com/articl...
[3] 哈爾濱工業大學關于防范暗云木馬的通知:http://www.80sd.org/guonei/20...
[4] CNCERT關于“暗云”木馬程序有關情況通:http://www.cert.org.cn/publis...
關于騰訊安全實驗室
騰訊移動安全實驗室:基于騰訊手機管家產品服務,通過終端安全平臺、網絡安全平臺和硬件安全平臺為移動產業打造云管端全方位的安全解決方案。其中騰訊御安全專注于為個人和企業移動應用開發者,提供全面的應用安全服務。
騰訊安全反詐騙實驗室:匯聚國際最頂尖白帽黑客和多位騰訊專家級大數據人才,專注反詐騙技術和安全攻防體系研究。反詐騙實驗室擁有全球最大安全云數據庫并服務99%中國網民。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/93195.html
摘要:到目前為止,騰訊反病毒實驗室發現的暗云攻擊目標大多為各類棋牌游戲服務器。 【關鍵詞:騰訊御安全,APK漏洞掃描,APP保護,Android防破解】 前面對暗云的分析報告中,騰訊電腦管家安全團隊和騰訊御安全基本摸清暗云Ⅲ的感染方式和傳播方式,也定位到被感染暗云Ⅲ的機器會在啟動時從服務端下載任務腳本包——ndn.db文件,且該文件會常進行更換。此外,撰寫本文的同時,騰訊御安全也收集到多個不...
摘要:到目前為止,騰訊反病毒實驗室發現的暗云攻擊目標大多為各類棋牌游戲服務器。 【關鍵詞:騰訊御安全,APK漏洞掃描,APP保護,Android防破解】 前面對暗云的分析報告中,騰訊電腦管家安全團隊和騰訊御安全基本摸清暗云Ⅲ的感染方式和傳播方式,也定位到被感染暗云Ⅲ的機器會在啟動時從服務端下載任務腳本包——ndn.db文件,且該文件會常進行更換。此外,撰寫本文的同時,騰訊御安全也收集到多個不...
閱讀 1019·2022-07-19 10:19
閱讀 1794·2021-09-02 15:15
閱讀 1007·2019-08-30 15:53
閱讀 2653·2019-08-30 13:45
閱讀 2651·2019-08-26 13:57
閱讀 1983·2019-08-26 12:13
閱讀 1006·2019-08-26 10:55
閱讀 545·2019-08-26 10:46