0×00概况

前面对暗云的分析报告中,腾讯电脑管家安全团队基本摸清暗云Ⅲ的感染方式和传播方式,也定位到被感染暗云Ⅲ的机器会在启动时从服务端下载任务脚本包——ndn.db文件,且该文件会常进行更换。此外,撰写本文的同时,腾讯电脑管家安全团队也收集到多个不同功能的ndn.db文件,以下对暗云Ⅲ危害展开具体分析。

0×01 暗云payload行为分析

在解析db文件前,先过一次暗云payload行为:

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(1)

木马每5分钟会联网下载一次配置文件 http://www.acsewle.com:8877/ds/kn.html

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(2)

该html是个配置文件,木马会检查其中的版本号,并保存,其后每次都会比较,以确定是否更新。

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(3)

木马干活模块lcdn.db其实为lua脚本解析器,主要功能下载任务db,进而解析执行:

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(4)

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(5)

0×02 任务脚本文件结构

通过分析,得知ndn.db的文件结构,大致如下:

struct f_db{ DWORD fileLen; // lua脚本bytecode文件大小DWORD runType; // 运行类型char fileName[24]; // lua脚本文件名char fileData[fileLen]; // lua脚本bytecode内容 }

如下图中,红色框为文件大小,灰色框为运行类型,蓝色框为文件名,紫色框为真实的bytecode内容。

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(6)

根据文件结构,进而可从ndn.db中提取到多个lua脚本的bytecode。

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(7)

0×03 任务脚本功能分类

分析得知,其使用的lua版本为5.3,是自行更改过虚拟机进行编译。使用普通反编译工具反编译后,只能得到部分可读明文,经过分析统计可知道暗云Ⅲ现有发布的功能大致有以下几类:

1、统计类

解密得到的111tj.lua脚本,实则为参与攻击机器统计脚本。

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(8)

该脚本主要作用为:每隔五分钟,带Referer:http://www.acsewle.com:8877/um.php访问cnzz和51.la两个站点统计页面,以便统计参与攻击的机器数及次数。

统计页面地址为:

http://c.cnzz.com/wapstat.php?siteid=1261687981&r=&rnd=1626837281http://web.users.51.la/go.asp?svid=15&id=19133499&tpages=1&ttimes=1&tzone=7&tcolor=24&sSize=1802,850&referrer=&vpage=http://www.acsewle.com:8877/tj.html&vvtime=1489555372270

访问流量:

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(9)

2、DDoS类

这类脚本,简单粗暴,直接do、while循环,不停地对目标服务发起访问。如下为dfh01.lua中代码,其目标是针对大富豪棋牌游戏。

L1_1.get = L4_4L4_4 = {"182.86.84.236","119.167.151.218","27.221.30.113","119.188.96.111","113.105.245.107"}while true dourl = "http://" .. "web.168dfh.biz" .. "/"L1_1.get(url)url = "http://" .. "web.168dfh.cn" .. "/"L1_1.get(url)url = "http://" .. "web.168dfh.top" .. "/"L1_1.get(url)end

又如,dfhcdn01.lua中:

while true dosendlogin("114.215.184.159", 8002)sendlogin("114.215.169.190", 8005)sendlogin("114.215.169.97", 8002)sendlogin("121.41.91.65", 8005)sendlogin("123.56.152.5", 8000)sendlogin("121.199.2.34", 8002)sendlogin("121.199.6.149", 8000)sendlogin("121.199.15.237", 8002)sendlogin("101.200.223.210", 17000)sendlogin("121.199.14.117", 8002)sendlogin("112.125.120.141", 9000)sendlogin("123.57.32.93", 9000)end

再如,在new59303.lua中:

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(10)

3、CC攻击类

解密得到的yiwanm001.lua脚本中,包含有各类UserAgent,在发起攻击时,会随机使用这些UserAgent来对目标网站发起访问,此外该脚本还将监测是否跳转到验证码页面,并自动提取Cookie完成访问。

随机UA:

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(11)

获取Cookie:

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(12)

这个脚本攻击的目标为m.yiwan.com。为了精确到指定目标,脚本中还写死了两个服务器ip。

L6_6= "http://139.199.135.131:80/"L7_7= "http://118.89.206.177:80/"

攻击流量截图:

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(13)

又如,攻击脚本jjhm77.lua脚本中,从http://down.jjhgame.com/ip.txt获取到ip地址和端口:

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(14)

之后按照目标服务所需的特定格式构造随机数据:

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(15)

循环发送,开始攻击:

ddos会导致什么后果(暗云Ⅲ危害不仅仅是DDoS)(16)

0×04 危害及建议

暗云自带lua脚本解析器,攻击全程文件不落地,具体需执行任务的db文件也是随时在服务端更新发布,如此增大了杀软查杀难度。坐拥上百万的暗云控制端(数据来自:CNCERT[http://www.cert.org.cn/publish/main/9/2017/20170612133251896100394/20170612133251896100394_.html]),已经可以不需要肉鸡无间断发起连接,即可完成大规模的指向性攻击。如此的好处便是在用户无感的情况下,占用用户带宽,完成攻击。

到目前为止,腾讯反病毒实验室发现的暗云攻击目标大多为各类棋牌、游戏服务器。截止当前,暗云控制端url已自行解析到127.0.0.1,下发url也已失效。但不确定暗云下一次开启时,任务db文件中lua脚本不会是更加恶意的功能。

所以,腾讯电脑管家建议用户积极采取安全防范措施:

1、不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件;

2、定期在不同的存储介质上备份信息系统业务和个人数据。

3、下载腾讯电脑管家进行“暗云”木马程序检测和查杀;

0×05 附录(暗云攻击过的ip地址及URL)

历史攻击过的IP列表:

114.64.222.26103.254.188.247114.64.222.2760.5.254.8260.5.254.8160.5.254.47218.29.50.40218.29.50.3960.221.254.22960.221.254.230122.143.27.170182.106.194.8327.155.73.1727.155.73.16125.89.198.29182.106.194.84111.47.220.47111.47.220.46111.20.250.133123.128.14.174106.59.99.46116.55.236.92218.5.238.249106.59.99.47117.27.241.114117.27.241.18114.215.100.76113.12.84.24113.12.84.2314.215.100.75112.90.213.51112.90.213.5258.223.166.19122.5.53.120122.5.53.12158.51.150.40219.146.68.119114.80.230.238114.80.143.223114.80.230.237112.25.83.28120.221.25.169120.221.24.125117.148.163.80112.25.83.29120.221.24.126117.148.163.79182.140.142.40118.123.97.16118.123.97.17220.165.142.221182.140.142.39218.76.109.67222.243.110.83222.243.110.82120.221.25.170113.5.80.249218.60.109.79113.5.80.248218.60.109.8058.51.150.52122.246.17.9120.199.86.132122.228.30.147122.228.30.38122.228.11.175116.211.144.70218.11.0.9118.178.213.63116.211.168.169116.31.100.147116.31.100.3116.31.100.144116.31.100.148116.31.100.170122.246.17.15116.211.144.240116.211.144.129116.211.144.242116.211.144.206116.211.144.238116.211.144.239116.211.144.219114.215.184.159114.215.169.190114.215.169.97121.41.91.65123.56.152.5121.199.2.34121.199.6.149121.199.15.237101.200.223.210121.199.14.117112.125.120.141123.57.32.93182.86.84.236119.167.151.21827.221.30.113119.188.96.111113.105.245.107139.224.32.159139.224.68.202139.224.35.106139.196.252.62139.224.35.175139.196.252.245139.224.33.199139.224.68.48139.224.35.132139.196.252.61139.224.35.188139.199.135.131118.89.206.177

历史攻击过的URL列表:

http://senios.138kkk.comhttp://senand.138kkk.comhttp://m.yiwan.comhttp://oss.aliyuncs.com/uu919/api/787go.confhttp://oss.aliyuncs.com/uu919/api/787go-socket.confhttp://senres.138kkk.com/sen/ios/filelist.luahttp://senres.138kkk.com/sen/ios/filelist.luahttp://58.51.150.52/sso/ios/filelist.luahttp://ssores.u2n0.com/sso/ios/filelist.luahttp://pcupdate.game593.com/?f=getLoginIntro&time=%s&key=%shttp://senios.uts7.comhttp://senand.uts7.comhttp://139.199.135.131:80http://118.89.206.177:80

,