每当听到“螳螂捕蝉 黄雀在后”或是“黑吃黑”这样的字眼儿时,人们都会自然的联想到黑势力对决或是黑社会题材的电影。然而,如今在利用网络从事不法行为的黑客圈,这种“黑吃黑”的现象却也日渐猖獗起来,尤其是在僵尸网络黑产中。
近日,国内著名网络安全企业启明星辰ADLab联合电信云堤在对僵尸网络黑产的分析中发现:目前Linux/Unix服务器中最为流行、感染规模最大的僵尸网络之一的Billgates僵尸网络中就存在大量的黑雀攻击行为。
值得关注的是,虽然很多安全团队都对Billgates僵尸做过深度的技术分析,但是大多都忽略了隐藏在第一级黑客“螳螂”之后攻击实力强悍的“黑雀”,乃至是“黑雀”之后还有终极BOSS——“大黑雀”,致使很多安全团队对这种隐藏颇深的“三级黑客架构攻击模式”防不胜防。
那么,这种黑雀攻击究竟是如何展开的呢?启明星辰ADLab联合电信云堤对三级黑客(大黑雀、黑雀、螳螂)进行黑客身份信息的追踪,对其中的攻击手段进行了揭示。
“偷梁换柱”式的攻击
Billgates僵尸是中国区僵尸网络规模最大的4个僵尸网络之一(另外三个为Boer_Family 、Remote-trojan.Nethief、Yoddos_Family),曾多次进行超过100Gbps攻击流量的大规模DDoS攻击,可谓破坏力巨大。该僵尸流行于Linux/Unix平台,后被改造应用于Windows平台的感染,这又增加了危害面。此外,Billgates僵尸在Linux/Unix平台下还支持内核模式的DDoS攻击。
启明星辰研究员表示,Billgates 僵尸最主要的一个特性是留有黑雀攻击的接口,大量的黑客利用这个接口来对下游黑客进行黑雀攻击。同时,其中还有一种有趣的攻击方式——偷梁换柱,即一个新的黑雀利用技术手段将原始黑雀取而代之。
在研究中,启明星辰团队根据发现的僵尸样本找到了生产该僵尸的原始僵尸生成器,利用该生成器生成的所有僵尸程序中存在一个原始黑雀C&C;其中的一些黑客发现了这种情况,并利用内存补丁技术【由于原始僵尸生成器通过虚拟机保护壳进行了虚拟化保护,采用内存补丁技术可以很好的绕过这种高强度的保护技术】将原始黑雀C&C替换成为自己的C&C后出售给另外一批黑客使用,以利用这些黑客来帮助自己感染肉鸡。(详细的分析报告将在启明星辰ADLab微信公众号:v_adlab以及官方网站:adlab.venustech.com.cn同步发布)
传染服务器数量惊人
由于原始黑雀(被置换掉的黑雀)存在于Billgates僵尸的模板文件中,因此启明星辰ADLab对原始黑雀进行追踪分析并发现,该黑雀至少控制着166个螳螂僵尸网络。
启明星辰ADLab根据电信云堤提供的国内抽样监测数据分析显示,国内受到感染的服务器主机有8千多台,值得注意的是这并非是Billgates僵尸网络的控制总量,这8千多台仅仅只是众多Billgates黑雀中的一个黑雀所感染的服务器量。显然,若把所有的黑雀感染的服务器累加起来,数量规模将相当庞大。对此,电信云堤特别将被传染的服务器覆盖区域进行了统计。
该地图数据由电信云堤提供
从覆盖区域上看,目前该黑雀所控制的僵尸服务器主要分布在北京、浙江、河南和广东一带。全国除了青海和台湾没有监测到感染实例,其他省份均有不同程度的感染。
“黑吃黑”链条复杂
在研究中,启明星辰ADLab同时还发现,在这个“黑吃黑”的链条中,黑雀或是螳螂的身份并不是单一固定的,僵尸网络的攻击渠道也不是唯一的,攻击方式非常混乱复杂。
比如,启明星辰ADLab对该螳螂的追踪分析发现,其和“Death”僵尸网络中的一个网名为yanke的黑雀为同一个人,这个黑客至少采用了Billgates僵尸和“Death”僵尸两种僵尸程序作为攻击武器发展僵尸网络。在两种类型的僵尸网络中,该黑客处在两种不同角色。在“Death”僵尸网络中,该黑客作为黑雀,给螳螂植入后门的同时,自己也被大黑雀植入后门,而在Billgates僵尸网络中,他单纯的作为螳螂,却浑然不知自己的攻击武器中被植入了后门。
启明星辰ADLab通过长期对Billgates僵尸程序分析发现,几乎绝大部分的Billgates僵尸都留有这种类型的后门,并且我们查阅到虽然多个安全团队都对Billgates僵尸做过深度的技术分析,但都忽略了其中攻击实力强悍的黑雀。更严峻的是,Billgates僵尸家族中还存在着无数这样的黑雀,他们利用普通黑客的攻击资源来发展自己的肉鸡,以达到坐收渔利的目的。
由此,对于广大网络安全团队来说,面对日益猖獗且日益混乱复杂“黑雀攻击”黑产链条,当引起高度重视,需要提升防范意识,增加防范手段,以充分保障网络安全。
好文章,需要你的鼓励
临近年底,苹果公布了2024年App Store热门应用和游戏榜单,Temu再次成为美国下载量最多的免费应用。
云基础设施市场现在已经非常庞大,很难再有大的变化。但是,因为人们可以轻松地关闭服务器、存储和网络——就像开启它们那样,预测全球云基础设施开支可能非常困难。