關(guān)于8220黑客攻擊團(tuán)伙近期活躍情況的挖掘分析報告

關(guān)于“8220”黑客攻擊團(tuán)伙近期活躍情況挖掘分析報告一、概述1、分析源起ET對監(jiān)測發(fā)現(xiàn)量攻擊件進(jìn)綜合挖掘類攻資源為歸屬等方的相性關(guān)系進(jìn)而將絡(luò)攻事件“攻擊伙的角并對各團(tuán)伙進(jìn)長期蹤。近期，ET與天融信公司聯(lián)合分析挖掘的某個團(tuán)伙經(jīng)外部情報比對標(biāo)定為8220挖礦伙通過ET的數(shù)據(jù)發(fā)現(xiàn)團(tuán)伙近在互網(wǎng)上活躍持續(xù)通過unmi尸網(wǎng)行控制染且掌握挖礦木也在續(xù)迭代不斷增其惡意挖的適能力。2、“8220”黑客攻擊團(tuán)伙近期活躍情況“8220團(tuán)伙自217年以來續(xù)活的挖伙，該伙擅利用列化、未授權(quán)問等洞攻擊indos和inux服器隨后通下載尸網(wǎng)序挖程序、端掃描具等機(jī)進(jìn)行制和意利。目前挖是該伙主躍領(lǐng)域根據(jù)NCERT期抽樣測，團(tuán)伙了4千左右設(shè)備傳播木馬針對同操系“822”團(tuán)執(zhí)行應(yīng)的程模：在Lnux平釋的木馬序會閉防、殺死爭對程序載惡意荷，并執(zhí)行由開源挖礦程序g改編的挖礦程序，進(jìn)而控制主機(jī)實施惡意挖礦;在indos臺的意程通過解惡意荷下址校錢包礦池創(chuàng)建程任務(wù)生礦池置文最終創(chuàng)快捷式自項來持化運(yùn)挖礦。此外，ET近期測跟蹤現(xiàn)，團(tuán)伙持續(xù)傳播ai僵尸絡(luò)程序，根據(jù)目抽樣果分被該團(tuán)控制的nmi僵尸網(wǎng)受控機(jī)IP量超過臺。mi僵尸序的主功能為程控制oS攻擊和他惡行為此8220除惡意礦外也可起oS攻擊，已單是開展意挖的黑伙。ET建議對露公網(wǎng)上應(yīng)用務(wù)使強(qiáng)度口及認(rèn)機(jī)制期對服務(wù)器進(jìn)加盡修服務(wù)器關(guān)高漏時更新丁當(dāng)發(fā)主存在挖木馬及僵網(wǎng)絡(luò)序時必立即行全位的處理。、近攻擊挖掘分析1、團(tuán)伙資源圖譜下圖為ET挖掘來的該伙近的攻源圖譜包括本、樣本下載地址。圖：擊源譜2、惡意樣本下載地址分析對目前獲到的8220伙的放馬L進(jìn)分發(fā)現(xiàn)團(tuán)伙惡意下載地址在路徑偏好用bahr.i68、asan、64bcan、hxx等字串，表所示：表：分意本載址及應(yīng)件徑好惡意樣本下載地址文件路徑偏h://8071.58.6/bah.68bah.68h://.oaceevce.obah.68h://19.3820.1/acaaah://8071.58.6/acah://bagveexz.nx64x64h://8941.82.60x4bh://8071.58.6/aah://bagveexz.nah://8071.58.6/hhxh://8941.82.60/xh://8941.82.60/8_6x86_6h://1/86_63、惡意樣本家族分析截至目，捕到該的惡意本家及變下表所。表：意本族功、種樣本家樣本功種類遠(yuǎn)程制DS攻其他意6ConMne下載意荷執(zhí)挖10a端口1、mi尸網(wǎng)序分析mi是流的僵尸絡(luò)程序族程序的2服務(wù)與受主機(jī)通過IC協(xié)議進(jìn)控制通信功能包遠(yuǎn)程制S攻擊和其惡意為ET目前檢測到8220伙使的該家的惡樣本計6種如下所示：表i家的意本名惡意樣本樣本D52地址32e4806888641b03b264k.xp.wdns.w104244525bah.680ba9dc743670b24b7451255123bah.x8_663863ba532b18a8b51255123644d44ed49667dd403562b1104244525o44o2x9d9e935ed8010b0eb79391104168113287k.db275587b8322082a0251041681132該類僵程序通過向被控制設(shè)備發(fā)送各類指令命令，來發(fā)起對應(yīng)的S攻擊的能，同該程還提能指令例“E”下載功。、oniner礦樣分析8220挖礦伙在idos與Linux平臺可行惡意荷下及挖并且在不同的臺配相應(yīng)池地址。Linux平臺捕獲到團(tuán)伙在inux臺上的馬，下表：表Linux平惡樣息惡意文件樣本D5病毒名1602bd145395cd33230vu71602bd145395da333oaLinuConMner.Bonedbusd3d217d68d418b0eb992u.LinuConMneX8x6b251881867da78629oaLinuConMner.Bone681017dad35680934b37oaLinuConMner.BoneLinux平下的池及包地址下表示。表：池錢地址礦池地錢包地4k-x0wndn46EUTFXh27Wo26hVUgVT9ZdweRAWbv1dHbsKo3GZR4qzFXH4poo.ox.indos捕獲到團(tuán)伙下在idos平臺的木，如表所示：表nds臺意本信惡意文件樣本D5病毒名ywndw087d1315bb5d7d907oa3onMneBoneoaceevc.09586b06645422325d8oa3.820Conneoaceevc.6e76837717ddd7b7oa3.820Conneoaceevc.2559713731937163d2b1oa3.820Conneoaceevc.b2d39706681b16c94oa3.820Connex.01d3dd216613dec19bu.3onMne下表為4個樣觀測出現(xiàn)時以及本文大小由此看出在意挖方面，團(tuán)伙有較續(xù)的更能力。表：本現(xiàn)間變化樣本D5最早出現(xiàn)時最晚出現(xiàn)時文件大0956b06645422532d82021-0-22021-1-12234376837717ddd7b72021-1-12022-1-222343255713731937163d2b12022-1-22022-3-2246882d397066817b16942022-3-224673indos臺下礦池錢包地如下所示。表nds臺挖程序礦及包礦池地錢包地x.gveexy.46EUTFXh27Woa26hWVUgVTZdweRAWbvY1hEmjHbsX3eG5RbqJXY41:804808、tcan端掃描馬分析該團(tuán)伙采用端口掃描手段來發(fā)現(xiàn)其他可用資源，之后再進(jìn)行攻擊爆破等系列行為以rjanin2.tn為例，相分析下。惡意程首先判斷值是否于等于2如是，就退出序，該程序只支持edHtinu。果修改里的入值續(xù)依舊退出并不態(tài)調(diào)試故后續(xù)內(nèi)為靜分析。之后的要功是建信，進(jìn)端口描行如下圖示：4、P及域名資源分析目前捕的8220攻擊伙的IP類的攻資，主要布美、烏等國家。表：P型團(tuán)資PP功能所屬國所屬地194.3.203放馬器烏克基80.711589放馬器烏克第聶羅得夫克45.6118411放馬器美佛羅達(dá)阿放馬器德黑森因畔蘭3放馬器美內(nèi)華拉維89.4118216放馬器羅馬布加斯放馬器美內(nèi)華拉維91.19.777放馬器荷阿姆特C盧森盧森525512C法上法西101681132C美紐約目前捕的8220攻擊伙的域類型擊資下表所。表：名型團(tuán)資域域名功注冊時過期時注冊商bagveexn放馬2020-9-22022-9-2ucwsnoaceevco放馬2021-1-02022-1-0ucwsn4kxpwndnC22019-3-02023-3-0e、惡樣本及感染制分析1、傳播面分析下圖為ET抽樣測發(fā)現(xiàn)近期團(tuán)伙樣本傳規(guī)?；钴S。在近期，單對上臺主功實施洞攻，并挖礦、尸網(wǎng)程序意樣本。1100100100100806040200圖：播模時趨變抽樣監(jiān)發(fā)現(xiàn)述團(tuán)傳播目標(biāo)IP所在域要集中北京東海等省份城市，域占圖如示：上海,上海,1600其它,1206廣,1726浙江,927重慶,616 北京,2477江蘇,564湖南,213山東,268四川,403圖：播標(biāo)P在分2、mi僵尸網(wǎng)絡(luò)控制情況分析ET對團(tuán)伙制的mi僵尸絡(luò)進(jìn)抽監(jiān)測，在022年1月至4月，共抽樣現(xiàn)受的主機(jī)P地址近2000。下為每日染的機(jī)IP量情況22-101222-10122-10422-10722-11022-11322-11622-11922-12422-12722-13022-20222-20522-20822-21122-21422-21722-22022-22322-22622-30122-30422-30722-31022-31322-31622-31922-32222-32522-32822-33122-40322-40622-40922-41222-41522-41822-42122-42422-42722-430北重慶上海浙江江蘇山東四川遼寧湖北安徽天津河南湖南福建河北內(nèi)蒙黑龍云南廣西未知江西甘肅貴州寧夏山西青海吉林香港海南新疆303020201010500圖：控機(jī)P模變其中京慶上感染的到該伙掌的ai僵網(wǎng)絡(luò)的主機(jī)IP數(shù)量最，分為432、298、269。受主機(jī)地IP地理位分情況如。504040303020201010500圖：控機(jī)P理分監(jiān)測發(fā)，該伙控僵尸網(wǎng)受控機(jī)IP型中，內(nèi)家和境內(nèi)C分別占39.21、36.1%。中IC類型的P不。--境內(nèi)家庭,39境內(nèi)家庭,3921境內(nèi)寬帶運(yùn)營商專用出口,005境內(nèi)IDC,3620境內(nèi)企業(yè),020未知,2434圖：控機(jī)P型、80”樣本舉分析、mi尸網(wǎng)序分析該程序運(yùn)行首先獲取字文件的數(shù)隨機(jī)生以下息：nick=Pidet=ELOuser=IDchan=key=icbt456erer=0在建立連接以后，向目標(biāo)發(fā)送一串固定格式的數(shù)據(jù)，數(shù)據(jù)內(nèi)容為之前獲取的內(nèi)容。發(fā)送生的數(shù)包內(nèi)下：發(fā)送數(shù)包內(nèi)后，接收攻者的制命接收到數(shù)據(jù)下：之后會據(jù)接不同令，可起不方式的oS攻擊，“”表flood擊，“表udpflood攻擊，圖：、oniner礦樣分析Linux平臺以下為個樣舉例。惡意樣一：Lnux載下載程序7f101a091b21457395dcd33230vrs該樣本主要能是防火測連接池地址執(zhí)行載惡載殺死競爭對的挖程序。首先，閉lnux防墻，并進(jìn)程文件修改為5000如下：之后分別對poo.oxmrcm(礦)bh.iemeyzi（荷下鏈域名）發(fā)起png測試如測正常，開始載惡荷，并下載件重為dbued。最后殺競爭手的程序，大化用系源，如圖：惡意樣二：Lnux挖程序dbed挖礦程采用源挖序g編譯成，本被加了upx，并使特殊字符串pri”進(jìn)標(biāo)。g編后如所示：置池址。配置礦的賬密碼配置U最大線及存池大，以效率。最后進(jìn)挖礦可看礦流量。indos以下分分析一和到五個本。惡意樣一：indos礦程序myidos.ee該木馬主要功能為解密出下載惡意載荷的、創(chuàng)建多線程生成礦池信息配置件、配挖礦序自項等。該木馬序初化之先解密惡意荷下址,如下所示：通過自定義算法分別對錢包地址、礦池地址計算相應(yīng)值，之后對兩個值進(jìn)行校驗如果不同，會退序，如圖所：隨后生成mcYN文件夾再通過建線任務(wù)貝自身放在任務(wù)目錄下，生成過bae4編碼的cfg置文文件內(nèi)為礦信息下圖：之后，啟動中創(chuàng)個Ineret快捷式(.l)，于自動運(yùn)，下圖所示：惡意樣二至：ids挖礦程序raleri.exe目前捕獲到該團(tuán)伙名為raleeric.exe的樣本攻擊4個，均為roan.in328220.imier挖木馬包相同的碼部外一持續(xù)迭變化中，其相同代碼圖所示：五、對和建議對暴露公網(wǎng)的應(yīng)務(wù)使用強(qiáng)度令及機(jī)制避多個務(wù)使相同令。定期對務(wù)器行加盡早修服務(wù)器achetrtsmctbLoic等相關(guān)高危漏，如條件安裝服器端安全。及時更補(bǔ)建開自動更功能裝系丁務(wù)器及時新統(tǒng)補(bǔ)丁。對照相關(guān)I，發(fā)是存在主被控為。當(dāng)發(fā)現(xiàn)機(jī)存挖礦及僵尸絡(luò)程時，立即進(jìn)全方的檢理。附：OC1意本載址hp6bahc.686hpa.oaceevce.opbahc.686hp60ahc.686hp18ahc.686hpbah.gveexyz.nbahc.686hpbahc.686hpbahc.686hpbahc.686hp8bahc.686hpbah.gveexyz.n686hpa.oaceevce.op686hp1686hp6066hp686hpbah.gveexyz.nx86_64hpa.oaceevce.op86_64hp6x6_64hpx8664hp1886_hp1x6_64hpx8_64hp8x6_64hpx8_64hpx8664hp6086_hp1886_hpx8664hp1hpashpbah.gveexyz.n32bhp6032bhpa.oaceevce.opx32bhp6x2bhpbah.gveexyz.n64bhp6064bhp6x4bhpa.oaceevce.op64bhp6hxhp60xxhphxxhpbah.gveexyz.nhxxhp80hp60hp180hp80hp80hp80hp6anhp1anhp1bnnerhpbah.gveexyz.nbannerhp1wdowexehp60wndwxehpa.oaceevce.opmywndwexehpanhp60nhpbah.gveexyz.nanhpa.oaceevce.opanhpnhp1anhp6anhp1a2hp2hp60e.pyhp1e.pyhpoceevce.exehp6oaceevce.exehp1oaceevce.exehp60wxexehp6wx.xehpwx.exehp1wx.xehp.exe2意本D548068886941b03b2690b9dc743670b24b74063863ba5a32b188b34d44ed49667dd403562b1fb4218322654007d468b3871602bd145395cd333