近期阿里云態勢感知發現一起中控位于中國香港地區的DDoS惡意攻擊事件，通過追蹤溯源發現，該DDoS木馬是XorDDoS-botnet的新變種，中控域名為：jun6.f3322.net，中控服務器IP是位于中國香港的118.184.43.7。從2017年11月份開始在互聯網上活動，持續至今。該木馬通過爆破的方式、以及JAVA Struts漏洞來抓取網上肉雞，然后通過添加自啟動服務，和安裝RootKit驅動的方式以達到常駐肉雞電腦的目的。通過與中控服務器通信不斷進行更新迭代，而且時刻準備著接受黑客的攻擊指令，從而對國內外的許多用戶進行DDoS攻擊。

基于阿里云態勢感知的大數據平臺，我們對該DDoS-botnet組織進行了追蹤和簡要分析，發現該組織的中控主要集中在中國香港地區，且長期活躍，這引起了我們的高度關注。再次出發，我們對中國香港地區的DDoS-botnet做了簡單研究，從發展趨勢、木馬類型、攻擊類型、以及發起攻擊的破壞力等等多維度進行數據分析，給出中國香港地區DDoS黑產的概貌。

XorDDoS-botnet案例的詳細分析

XorDDoS-botnet樣本分析

• 樣本簡介
  樣本的基本信息如下：

• 樣本運行流程圖
  
• 樣本核心代碼分析

該DDoS木馬為了常駐肉雞的電腦，它會在啟動的開始就添加自啟動服務。其代碼如下：

最后木馬會在crontab中添加定時任務，保證被結束進程后還能運行起來。

該木馬為了隱藏自己，還會攜帶rootkit驅動，如果該rootkit驅動程序存在，則會發送指令：0x9748712，隱藏進程的網絡端口。其核心代碼如下：

其中隱藏的網絡端口的核心代碼如下：

木馬啟動后，會解密出中控域名，并自動連接中控服務器。其中解密中控域名的核心代碼如下：

我們通過動態調試，最終得到其解出來的中控域名為:jun6.f3322.net ,動態調試截圖如下：

d.木馬在與中控通訊過程中，會將肉雞的cpu信息、內存信息、帶寬信息全部上傳到中控服務器上，以便黑客控制進行DDoS攻擊的強度。其核心代碼如下：

該DDoS木馬主要的攻擊類型有兩種：SYN攻擊和DNS攻擊。通過接受中控的命令，對攻擊目標發起攻擊。其核心代碼如下：

XorDDoS-botnet發展過程

阿里云態勢感知發現該中控于2017年11月，其中控域名為：jun6.f3322.net。該黑客組織持續經營著該僵尸網絡，不斷迭代更新，持續至今。根據阿里云態勢感知的大數據監控顯示，該僵尸網絡至少已經存活9個月之久，攻擊的全球不同地域的用戶數不計其數。下面是該XorDDoS-botnet的發展歷程：

該中控的肉雞的變化趨勢
冰凍三尺非一日之寒，阿里云態勢感知從持續跟蹤監控到的數據顯示，該XorDDoS僵尸網絡經過9個月左右的持續發展和更新迭代，肉雞規模不斷壯大。在2018年4月份的時候，其肉雞規模達到了頂峰，其變化趨勢圖如下：

該中控肉雞攻擊用戶的國內外分布情況
該XorDDos僵尸網絡所控制的肉雞數量龐大，其攻擊的受害用戶地理分布也十分廣，覆蓋了國內的25個省區。其中中國香港地區的受害用戶數排名第二，是重災區。該XorDDoS僵尸網絡控制肉雞攻擊受害用戶的數量及分布詳情如下圖：

阿里云態勢感知通過對該XorDDoS僵尸網絡肉雞的相關數據進行大數據統計，總結出了該僵尸網絡所攻擊的全球用戶的數據情況，其攻擊的全球不同區域的用戶的實時動態如下圖所示：

阿里云態勢感知通過對該XorDDoS-botnet深入分析后，我們心中產生了一系列的疑問。為什么該DDoS-botnet的攻擊能力如此強大？中國香港地區的DDoS黑色產業現狀如何？該XorDDoS-botnet會不會只是其DDoS黑色產業的冰山一角？

中國香港地區DDoS-botnet的研究

目前現狀概述
DDoS黑色產業由來已久，但是經久不衰，持續的威脅和迫害者網上的個人用戶以及企業用戶。這些年互聯網技術的飛速發展，DDoS產業的隨著時代的步伐不斷進步，由以前的幾個G的攻擊流量增加到幾百G，甚至高達T級別的攻擊流量。尤其是反射攻擊，比如今年的memcache反射攻擊，將攻擊威力放大近萬倍，攻擊流量輕易就可以達到T級別。不僅攻擊流量增大很多，其中可參與DDoS攻擊的設備類型也有增加，除了傳統的linux和windows服務器，還增加了龐大IOT設備。

據阿里云態勢感知的大數據分析平臺統計，目前中國國內的DDoS類的肉雞規模在百萬級別，而我們這次調研的中國香港地區的DDoS肉雞規模占據了總量的2%-3%左右。且香港地區的的DDoS-botnet的攻擊類型也十分 的豐富，多達十幾種。市面上目前比較流行的各DDoS木馬家族在香港地區也有發現，發現XorDDoS木馬家族 占比較高。 該地區肉雞的DDoS攻擊流量范圍也十分的廣，最小攻擊流量在1G左右，最大攻擊流量在500G至1T之間，對互聯網上用戶的危害非常之大。

中控數量統計
阿里云態勢感知大數據監控顯示，從2018年初至今，香港地區的DDoS僵尸網絡的中控數量還在不斷攀升，以下是目前在香港地區的DDoS-botnet中控數量的變化趨勢：

常用DDoS木馬類型統計
目前香港地區發現的DDoS類木馬的種族也十分豐富，有XorDDoS家族、Gates家族、Mayday家族等等，幾乎涵蓋了市面上所有流行的DDoS木馬類家族。其中XorDDoS家族占比最高，這也恰恰驗證了上文分析的XorDDoS-botnet的攻擊能力為什么如此強大。下面是中國香港地區常用DDoS類木馬家族的占比詳情圖：

肉雞數量統計
從阿里云態勢感知近半年監控到的DDoS-botnet數據顯示，香港地區的DDoS類肉雞的數量起伏比較大，在2018.02時該地區的肉雞數量達到小高峰。以下是近半年香港地區的DDoS類肉雞的變化趨勢圖

DDoS攻擊類型統計
據阿里云態勢感知的大數據分析統計，中國香港地區的DDoS攻擊類型十分豐富，幾乎涵蓋了目前DDoS黑產里面的所有常用的，且攻擊流量大的攻擊類型，其中反射型的攻擊方式有逐漸成為主流攻擊方式的趨勢。以下是香港地區的所有的攻擊類型及其所占的比例的詳情圖：

DDoS攻擊破壞力統計
香港地區的DDoS類肉雞雖然只占全國肉雞總量的2%-3%，但是該地區肉雞的DDoS攻擊破壞力卻不小。最小攻擊流量在1G左右，其最大攻擊流量在500G以上，其中攻擊流量在100G以上的，約占總量的50%左右。以下是香港地區DDoS類肉雞攻擊流量范圍占比圖：

總結及建議

DDoS攻擊是網絡安全攻防領域長盛不衰的話題。近些年隨著各種技術的快速發展，DDoS黑色產業也在不斷進步。尤其是反射性DDoS攻擊的出現，為DDoS攻擊產業提供了"核武器"，將攻擊流量放大近萬倍，最高可達5萬倍，其殺傷力可見一斑。透過對中國香港地區DDoS-botnet的研究，以及結合阿里云態勢感知的大數據分析，我們可以宏觀的看到中國香港地區DDoS產業的"繁華"。今年以來中控數量不斷攀升，攻擊木馬類型日漸豐富，攻擊流量更是突破T級別，百G攻擊流量已占比達到50%左右。顯而易見，中國香港地區的個人用戶和企業用戶正在遭受各種DDoS-botnet的控制和攻擊，其個人用戶和企業加強安全防范措施已迫在眉睫，尤其企業用戶。他們需要強大的保護傘，來保護其各種業務的正常運行，不至于被DDoS攻擊至癱瘓。阿里云不僅具備強大的計算能力、大數據處理能力，它還具備很高的安全性，擁護抗DDoS的專業防護產品，可以防護各種類型的DDoS攻擊，是各大企業抗DDoS攻擊的不錯選擇。

對于大中小企業而言，如何做好DDoS攻擊的防范工作，以及提前應該部署哪些安全防御措施，阿里云安全專家建議如下：

盡早發現系統存在的攻擊漏洞，及時安裝系統補丁程序，避免企業的電腦淪為黑客的肉雞，被利用來對外進行DDoS攻擊。

經常檢查物理設備，禁止設備上的不必要的服務和端口。建立邊界安全界限，確保進出包都能受到正確的限制

利用網絡安全設備來加固企業的網絡安全。配置好這些設備的安全規則，過濾掉偽造數據包。

盡可能的將企業的服務采用分布式集群的方式部署。當企業服務器的一個節點被攻擊而無法提供正常服務的時候，通過負載均衡調度，自動將企業服務切換到其他服務器節點上去，確保企業服務正常運轉，避免被攻擊后出現企業服務癱瘓的情況。

附錄：

總結

以上是生活随笔為你收集整理的中国香港地区 DDoS- botnet 态势分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。