dds攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的,词文章主要是针对那些对一种被大量肉鸡使用,面向目标ip发起dds攻击的木马工具。 ddos防御
本篇文章是对一种被大量肉鸡使用,面向目标ip发起dds攻击木马工具的详细分析。
一 背景
近期,阿里云云盾安全攻防对抗团队通过异常流量分析和攻击溯源发现了一种被大量肉鸡使用,面向目标ip发起dds攻击的木马工具。经过取样和入侵分析,我们发现该dds攻击工具大部分是由于网络上某些服务器存在m或ss弱密码等原因被入侵,被黑客传入大量恶意软件,其中包括该款dds工具:
文件名:dpsmd:
该dds工具运行后先通过反弹的方式主动与远程主机连接,远程控制机随后向该dds工具传递攻击的目标ip。dds工具随后使用自己所携带的w驱动直接操作网卡发包,向目标ip发动syn流量攻击。
二 样本简介
该dds工具启动后,会先获取主机信息(系统版本cpu架构,网卡信息,mac地址),然后主动通过设定好的域名来连接远程主机。建立连接后,将这些信息发送给远程主机。同时,工具会创建线程等待主机发来攻击目标ip。当远程控制机与该dds进行一系列的准备工作通信后,会给其发送一个攻击指令包,该指令包会包含攻击目标ip地址。
该dds工具接收到攻击指令后,会自助将目标ip填充为syn包,然后调用w驱动,直接操作网卡发送填充好的攻击流量包。攻击流程如图所示。
图 攻击流程
三 详细分析
网络流量分析
在测试机中(由于隐私需要,将部分机器ipmac地址隐藏)将该程序启动,通过分析网络流量会发现该程序在与远程控制机建立连接后会立即向远程主机发生一个报告包,该包包含了本机的系统版本,如图所示
图 描蓝包所显示的数据有一段w s (红框所示)
后续会进行一段时间的相互通信,通过数据分析发现,该通信包无明显特征,应该是为防止下断,增加分析包的难度。经过该段时间通信后,控制端会发送一个明显突变的包,然后受控机开始进行向外dds攻击。通过分析该包内容,该包明显相较于其他数据包不一样,对比随后就发生的dds攻击的目的ip地址,发现该包包含了dds攻击目标ip与端口号,因此可判断为该包为指令包,如图所示。
图 描蓝即为指令包,受控机收到该包后随后控制机即对外部进行dds攻击,其中红框即为目标攻击ip
文件逆向分析
通过对程序逆向分析,发现程序运行后会获取主机的信息(系统版本cpu架构,网卡信息,mac地址),如图所示:
图 系统版本
图 cpu核心和架构
上一页 下一页 阅读全文