安全中心 > 安全热点分析 > 一起游戏私服同行发起的DDoS攻击:样本分析与溯源

一起游戏私服同行发起的DDoS攻击:样本分析与溯源

时间:2017年 09月 06日   作者:腾讯反病毒实验室

8月中旬,电脑管家反病毒实验室发现023155.cn(222.186.129.87)正遭遇大量DDoS攻击。安全人员通过溯源,捕获到上百个DDoS攻击样本,并第一时间实现全部查杀。有趣的是,发起攻击者和被攻击者都是游戏私服网站,攻击原因未知。下文详细分析这些攻击样本如何发起DDoS攻击,并溯源其样本源头和传播渠道。

一、样本分析

母体:6f41f5483da69dd6faf19a58c57d7491

子体:f173f692970a20fa8ca49423d6ad8e89

该起DDoS攻击的样本是通过一个下载者(母体)下载来的(C&C :ddos.m0427.com-> 103.40.102.87),这里下载的是W4.7.exe样本。经分析发现,这个样本仅在收到C&C指令后发起DDoS攻击,其它时间一直处于“休眠状态”,并无其它远控行为。

1.      母体分析

1)      母体是一个下载者,拷贝自身到系统System32目录下,然后调用CreateService创建服务,实现开机自启动。

2)      访问http://103.40.102.87/W4.7.exe下载干活的远控木马,并CreateProcess拉起来。每次都可通过云配置下载不同的干活程序。

 

2.      子体分析

1)      提升系统权限和关闭UAC通知

2)      调用DnsFlushResolverCache清除DNS缓存,保证解析到最新IP。

3)      在自身后面填充0x2E,使其大小达到三十多MB,以对抗杀软收集样本云。拷贝自身到C:\WINDOWS\WindowsUpdata\ohumykb.exe,文件名是随机的。并且修改注册表创建开机自启动。

4)      调用CreateMutexA创建互斥量,保证只有一个实例运行。

5)      连接C&C 服务器daghfgdgab.lvdp.net ->103.40.102.87。

 

6)      调用GetVersionExA、GlobalMemoryStatus得到系统版本信息、内在信息和CPU信息。调用send,并通过TCP协议把数据传给C&C。

7)      C&C返回的指令说明如下,完成一次DDoS攻击的指令顺序:3 -> 1->4 ->2。

指令

说明

1

读Config.ini设置攻击参数

2

停止退出

3

写Config.ini配置文件,包括攻击目标域名信息

4

发起DDoS攻击

8)      攻击时,构造http包信息,模拟浏览器访问,避免DDoS攻击包被过滤掉。

 

二、溯源

从daghfgdgab.lvdp.net域名开始溯源,发现很多私服登陆器,实际上是会释放远控木马,这些私服登陆器通过SNS渠道、游戏外挂网站传播。分析发现,远控木马大部分是gh0st系列和灰鸽子系列,单个样本广度很低,但是样本量很多,粗略估算有几百个远控木马,从域名IP和代码特征,可以确定是同一团伙搞的。

有趣的是被攻击的网站也是一家私服网站,攻击原因不为人知。

1.    DDoS攻击样本

C&C:103.40.102.87

6f41f5483da69dd6faf19a58c57d7491

38e451a4adc01f48ba1136d381966954

6355310f2c804fae2b0b97ed4dcd73ff

cd65b0c4a009ef69535199f62dc09e03

0e7ae33f69aceb943b799dd9b1faf774

38e451a4adc01f48ba1136d381966954

0e7ae33f69aceb943b799dd9b1faf774

……

2.    gh0st系列远控

C&C : 221.229.160.197,123.56.41.200

8c19d83ff359a1b77cb06939c2e5f0cb   NetSyst96.dll

aa3ad0036b746783b6b0d029f1d3261a  2018登录器.exe 远控木马

d4f3287e5e068c43aaec29dbac583e97  春暖花开--登录器.exe

ccf4f967a0f025ea1da1bfa283760cf1  世外桃源--登录器

411087ce808065022c30610a9bdb656e 问道变态服.exe

……

3.    灰鸽子系列

45a89c140eca4ac38cb8986cfcf341ec

02f0849026bdef8ce8304aa640e73663

966F65D0FA166B3459755AE92690C652

 

4.    发起DDoS攻击的游戏私服网站

5.    DDoS攻击的游戏私服网站

相关热点分析