一款流行DDoS木马工具的分析 -
| 关注黑客与极客
一款流行DDoS木马工具的分析
共246294人围观
，发现 13 个不明物体
本篇文章是对一种被大量肉鸡使用，面向目标IP发起DDoS攻击木马工具的详细分析。
近期，阿里云云盾安全攻防对抗团队通过异常流量分析和攻击溯源发现了一种被大量肉鸡使用，面向目标IP发起DDoS攻击的木马工具。经过取样和入侵分析，我们发现该DDoS攻击工具大部分是由于网络上某些服务器存在Mysql或SqlServer弱密码等原因被入侵，被黑客传入大量恶意软件，其中包括该款DDoS工具：
文件名：DbProtectSupport.exe&MD5：412e6b0de470907cba75e00dde5a0086
该DDoS工具运行后先通过反弹的方式主动与远程主机连接，远程控制机随后向该DDoS工具传递攻击的目标IP。DDoS工具随后使用自己所携带的Winpcap驱动直接操作网卡发包，向目标IP发动SYN流量攻击。
二 样本简介
该DDoS工具启动后，会先获取主机信息（系统版本、CPU架构，网卡信息，MAC地址），然后主动通过设定好的域名来连接远程主机。建立连接后，将这些信息发送给远程主机。同时，工具会创建线程等待主机发来攻击目标IP。当远程控制机与该DDoS进行一系列的准备工作通信后，会给其发送一个攻击指令包，该指令包会包含攻击目标IP地址。
该DDoS工具接收到攻击指令后，会自助将目标IP填充为SYN包，然后调用Winpcap驱动，直接操作网卡发送填充好的攻击流量包。攻击流程如图1所示。
图1 攻击流程
三 详细分析
3.1 网络流量分析
在测试机中(由于隐私需要，将部分机器IP、MAC地址隐藏)将该程序启动，通过分析网络流量会发现该程序在与远程控制机建立连接后会立即向远程主机发生一个“报告包”，该包包含了本机的系统版本，如图2所示.
图2 描蓝包所显示的数据有一段Windows Server 2003（红框所示）
后续会进行一段时间的相互通信，通过数据分析发现，该通信包无明显特征，应该是为防止下断recv，增加分析recv包的难度。经过该段时间通信后，控制端会发送一个明显突变的包，然后受控机开始进行向外DDoS攻击。通过分析该包内容，该包明显相较于其他数据包不一样，对比随后就发生的DDoS攻击的目的IP地址，发现该包包含了DDoS攻击目标IP与端口号，因此可判断为该包为指令包，如图3所示。
图3 描蓝即为指令包，受控机收到该包后随后控制机即对外部进行DDoS攻击，其中红框即为目标攻击IP
3.2 文件逆向分析
通过对程序逆向分析，发现程序运行后会获取主机的信息（系统版本、CPU架构，网卡信息，MAC地址），如图4、5、6、7所示：
图4 系统版本
图5 CPU核心和架构
图 6 系统网络接口和MAC地址
对gethostbyname下断可发现受控机会首先获取*.这个域名获取主机地址信息，如图7所示。
图7 通过固定域名获取主机地址信息
对connect下断可以发现连接的控制机的目的地址为：*.*.242.6，如图8所示：
图 8 逆向分析出connect控制机IP地址为：*.*242.6
对send下断可以发现所发送的第一个数据包内容为，如图9所示，与图1中“报告包”数据内容对比可发现，该数据内容一致。
图 9 &send截获的“报告包”
由于后面实际打DDoS攻击使用的是自带驱动Winpcap直接操作网卡来进行发包，因而OllyDbg截获不了所发的封包，但是可以通过Wireshark抓包软件来捕获，如图10所示。
图10 攻击流量包
经过以上分析，我们可以发现该DDoS木马的并没有太复杂的DDoS攻击模式，而且也没有自启动模块，当外部程序启动它后，就会接受远程控制，来对目标IP发动攻击。该攻击行为由于是直接操作驱动进行，所以客户端没有很好的阻断方式。
不过，由于本机文件特征比较明显，它的同目录文件夹下会带有npf.sys驱动，因而是个比较明显的特征。
最后，该DDoS工具传播范围比较大，当发现机器上有异常流量的时候，可以直接检查下自己服务器上面是否存在此恶意工具文件。
*作者：阿里云云盾安全攻防对抗团队（企业账号），转载请注明来自FreeBuf黑客与极客（）
必须您当前尚未登录。
必须（保密）
阿里巴巴集团安全应急响应中心
关注我们 分享每日精选文章您所在的位置：
& &网吧如何阻止DDOS攻击?
网吧如何阻止DDOS攻击?
来源：河东下载
经营管理小分类
下载排行榜天下网吧-网吧论坛-网吧技术-网吧增值联盟-网咖论坛 -
Powered by Discuz!
请联系管理员,帖子ID：351807您好，天下网吧-网吧论坛-网吧技术-网吧增值联盟-网咖论坛提醒您：本站已设置前的帖子暂时无法访问，,您可以浏览以下网吧网站||
如有急事,您也可以加入天下网吧官方QQ群: 600460讨论网吧问题,请手打+注明加群理由，不然不会通过加群请求的！,欢迎大家扫码关注天下网吧官方微信公号
天下网吧论坛对因此设置给大家带来不便,深感歉意!查看:20004|回复：26
最近对DOSS攻击感兴趣，获取了某网吧服务器公网IP，可就是不知道怎么攻击！
不道德。。。
从理论上上来讲，不可能一个人完成攻击。
DDOS全名是Distributed Denial of service (分布式拒绝服务),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击
从实际上，确实有人是可以做到。 ...
初级工程师
希望学习！
引用:原帖由 wcxsky 于
16:20 发表
从理论上上来讲，不可能一个人完成攻击。
DDOS全名是Distributed Denial of service (分布式拒绝服务),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击 ... 估计他要的是DOS攻击即可....
引用:原帖由 花谢痕生 于
23:36 发表
最近对DOSS攻击感兴趣，获取了某网吧服务器公网IP，可就是不知道怎么攻击！ 之前汇总了一些关于DDOS的帖子，推荐楼主可以看一下
该用户已被禁言
准备好各类工具，如：斧头，锤子等。
打开网吧机房，对准服务器，用你带的工具对服务器进行分布式攻击，10分钟后，即可闪人。
感兴趣归感兴趣，你有DDOS资源么？有的话，一切都好说哦。
一直很讨厌这样的提问者。一上来就要攻击这个，攻击那个，DDOS那个。。。很讨厌，很反感。
本帖最后由 systemerror 于
12:39 编辑
引用:原帖由 systemerror 于
12:36 发表
准备好各类工具，如：斧头，锤子等。
打开网吧机房，对准服务器，用你带的工具对服务器进行分布式攻击，10分钟后，即可闪人。
感兴趣归感兴趣，你有DDOS资源么？有的话，一切都好说哦。
一直很讨厌这样的提问者。一上来就要攻击这个，攻击 ... DOS资源足够...
引用:原帖由 systemerror 于
12:36 发表
准备好各类工具，如：斧头，锤子等。
打开网吧机房，对准服务器，用你带的工具对服务器进行分布式攻击，10分钟后，即可闪人。
感兴趣归感兴趣，你有DDOS资源么？有的话，一切都好说哦。
一直很讨厌这样的提问者。一上来就要攻击这个，攻击 ... 只是我之前用个软件，然后自己反被攻击了...
引用:原帖由 systemerror 于
12:36 发表
准备好各类工具，如：斧头，锤子等。
打开网吧机房，对准服务器，用你带的工具对服务器进行分布式攻击，10分钟后，即可闪人。
感兴趣归感兴趣，你有DDOS资源么？有的话，一切都好说哦。
一直很讨厌这样的提问者。一上来就要攻击这个，攻击 ... 说的对，我支持，不道德的攻击，做信息安全的是要禁止的，你个人捞不着什么不说，害的人家受损失。全民禁止。
ddos 呗 找&&老板可以帮你搞定
授人以鱼不如授人以渔
应该是DDOS吧，既然你说对这个有兴趣，想要攻击网吧，那你有多少鸡呀？
高级工程师
对于网吧来说，知道了公网IP，下一步应该进入路由器。。。。
你太狠了，哈
找ddos攻击小组就行啊&&我一直都是找&&公牛ddos攻击小组帮我
:funk: :funk: :funk: :funk:
高级工程师
你有僵尸网络吗？有几台强大的服务器吗？
中级工程师
引用:原帖由 systemerror 于
12:36 发表
准备好各类工具，如：斧头，锤子等。
打开网吧机房，对准服务器，用你带的工具对服务器进行分布式攻击，10分钟后，即可闪人。
感兴趣归感兴趣，你有DDOS资源么？有的话，一切都好说哦。
一直很讨厌这样的提问者。一上来就要攻击这个，攻击 ... 哈哈 回答的够幽默的
引用:原帖由 systemerror 于
12:36 发表
准备好各类工具，如：斧头，锤子等。
打开网吧机房，对准服务器，用你带的工具对服务器进行分布式攻击，10分钟后，即可闪人。
感兴趣归感兴趣，你有DDOS资源么？有的话，一切都好说哦。
一直很讨厌这样的提问者。一上来就要攻击这个，攻击 ... 艾玛，太逗了你，笑死我吧....果断赞一个！！！}