Nitol.C僵尸网络爆发预警

释放双眼,带上耳机,听听看~!

1.背景介绍

近日,安恒析安实验室(ZionLab)跟踪到某团伙针对中国境内集中投放的一批Nitol僵尸网络变种。这批样本使用随机子域名加固定根域名的形式组装成C2域名,截至本文发出时间该域名暂未出现有效解析。

2.基本信息

Nitol僵尸网络最先是由鬼影工作室开发,由于某些情况源码对外公开,因此网络上出现了多种Nitol衍生版本。这次攻击者投递的主要是Nitol家族的Nitol.C衍生版本。


该衍生版本在2017年的攻击被友商记载,同时发生了部分媒体炒作中国DDOS韩国一些政府部门的相关新闻。通过对比2017年的信息,确认CC域名完全一致,活跃周期和二进制特征基本一致。


本批次衍生样本伪装名称为“hello.exe”、“Yagu Music”,推测其投递渠道主要通过第三方下载站投毒。同时发现Nitol.C衍生版本的样本内置了“www.baidu.com”域名,可能与友商最近分析的路由器中间人劫持有关。

3.样本分析

衍生版本对比

通过多个衍生版本样本对比,Nitol.C衍生类增加了www.baidu.com域名和子域名随机化:

Nitol.C主体架构


C2解密手法

密文->base64->加偏移->XOR 固定值

随机域名生成

随机构造生成10位的C2域名,解析规则是“*.nnnn.eu.org”。

功能指令

大于6的指令

0x10 远程下载并执行


0x12 自我更新

下载程序到temp路径,命名为xxxxxcn.exe,删除自身权限维持,删除自身,启动下载的程序。

0x14 打开文件


等于6的指令

0x6 自毁

删除权限维持,关socket,删除自身,退出。

小于6的指令

0x2 DDOS

0x3 SendHttpGetToHost

0x4 回传数据

4.预防手段

1、 使用官方网站下载的正版软件,减少因使用盗版软件暗藏病毒后门带来的风险。

2、 不要打开来历不明的软件,提高自身警惕性,减少因为人为因素带来的安全风险。

3、 路由器刷机有风险,请谨慎选择,减少被中间人攻击的可能性。

IOC

参考链接:


https://www.freebuf.com/articles/network/147591.html

https://www.huorong.cn/info/1566134103356.html

本文源自微信公众号:雷神众测

人已赞赏
安全工具

泛微e-cology OA远程代码执行 漏洞高危漏洞预警

2019-10-14 14:31:26

安全工具

你眼中的黑阔vs真实的黑阔

2019-10-14 14:31:33

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索