一款流行DDoS木马工具的分析

本一篇文章是对一种被大量肉食鸡使用，朝向目标iP进行DDoS攻击木马病毒工具的深入分析。

一 背景

最近，阿里服务器云盾安全功防抵抗团队通过异常流量统计和攻击追溯发现了一种被大量肉食鸡使用，朝向目标iP进行DDoS攻击的木马病毒工具。经过抽样和侵入分析，我们发现该DDoS攻击工具绝大多数是由于网络上一些网络服务器存在Mysql或SqlServer弱密码等原因被侵入，被网络黑客传到大量恶意程序，主要包括新款上市DDoS工具：

文件夹名称：DbProtectSupport.exe MD5：412e6b0de470907cba75e00dde5a0086该DDoS工具运行后先通过反跳的方式主动与远程服务器连接，远程操作机紧接着向该DDoS工具传送攻击的目标iP。DDoS工具紧接着使用自己所带上的Winpcap驱动直接操作网口分包，向目标iP启动SYNddos攻击。

二 样版介绍

该DDoS工具启动后，会先获得服务器信息（系统版本号、Cpu构架，网口信息，Mac地址），然后主动通过设置好的网站域名来连接远程服务器。建立连接后，将这些信息发给远程服务器。同时，工具会建立进程等候服务器发过来攻击目标iP。当远程操作机与该DDoS进行一连串的准备工作通讯后，会给其上传一个攻击命令包，该命令包会包括攻击目标ip地址。

该DDoS工具接受到攻击命令后，会自助式将目标iP添充为SYN包，然后启用Winpcap驱动，直接操作网口上传添充好的攻击流量包。攻击流程如图所示1如图。

三 深入分析

3.2 数据流量分析

在测试机中(由于隐私保护需要，将部分设备iP、Mac地址掩藏)将该程序启动，通过分析数据流量会发现该程序在与远程操作机建立连接之后立即向远程服务器发生一个“报告包”，该包包括了该机的系统版本号，如图所示2如图.

图2 描蓝包所显示的数据有一段Windows Server 2007（红框如图）

后续会进行一段时间的互相通讯，通过数据统计分析发现，该通讯包无明显特征，应该是为防止下断recv，增加分析recv包的难度。经过该一段时间通讯后，控制端会上传一个明显突然变化的包，然后控制计划机开始进行向外DDoS攻击。通过分析该包内容，该包明显相比其他数据文件不一样，对比紧接着就发生的DDoS攻击的目的ip地址，发现该包包括了DDoS攻击目标iP与服务器端口，因此可判断为该包为命令包，如图所示3如图。

图3 描蓝即是命令包，控制计划机收到该包后紧接着控制机即外部进行DDoS攻击，其中红框即是目标攻击iP

4.3 文件反向分析

通过对程序反向分析，发现执行程序之后获得服务器的信息（系统版本号、Cpu构架，网口信息，Mac地址），如图所示4、5、6、7如图：

图4 系统版本号

图5 Cpu核心和构架

图 6 系统网络接口和Mac地址

对gethostbyname下断可发现控制计划机会首先获得*.softcoo.Com这个网站域名获得主机地址信息，如图所示7如图。

图7 通过固定网站域名获得主机地址信息

对connect下断可以发现连接的控制机的目的地址为：*.*.242.6，如图所示8如图：

图 8 反向分析出connect控制机ip地址为：*.*242.6

对send下断可以发现所上传的第一个数据文件内容为，如图所示9如图，与图1中“报告包”数据内容对比可发现，该数据内容一致。

图 9 send捕获的“报告包”

由于后边实际打DDoS攻击使用的是内置驱动Winpcap直接操作网口来进行分包，因此OllyDbg捕获不了发过的封包，但是可以通过Wireshark抓包软件来捕捉，如图所示10如图。

图10 攻击流量包

四 总结

经过以上分析，我们可以发现该DDoS木马病毒的并没有太复杂的DDoS攻击模式，而且都没有开机启动模块，当外界程序启动它后，就会接受远程操作，来对目标iP启动攻击。该攻击性行为由于是直接操作驱动进行，所以手机客户端没有很好的阻隔方式。

不过，由于该机文件特征比较明显，它的同文件目录文件夹名称下能含有npf.sys驱动，因而是个比较明显的特征。

最后，该DDoS工具传播范围比较大，当发现设备上有异常流量的时候，可以直接检查下自己网络服务器上面是否存在此故意工具文件。