爆破流DDOS团伙ChinaZ的流程记录

释放双眼,带上耳机,听听看~!

说到ChinaZ,首先声明一下这个不是站长之家的名称,鉴于我对于内部技术的敬畏,可以很确定这是一个有名的黑产团伙,一个热衷于利用老漏洞和密码爆破从而投放Xorddos和BillGates的黑产团伙。

相关链接:

http://blog.malwaremustdie.org/2015/01/mmd-0030-2015-new-elf-malware-on.html

http://blog.malwaremustdie.org/2015/08/mmd-0039-2015-chinaz-made-new-malware.html


下面为Intezer的蜜罐抓取的一系列爆破攻击,通过SSH\Telnet暴力破解进入后,首先关闭防火墙,然后下载payload,设置权限,然后运行payload.

下载的脚本所处为下面的HFS面板

上图面板中的linux样本为billgates变种

PE则为Ghost变种,可见C2一致

通过查询这个域名的历史解析IP,能发现一些被这个组织日过的网站痕迹,比如

一天后,面板又上传了新的样本,为DDosClient家族

RAR里是大灰狼

通过刚刚VT搜到的被动解析IP,可以发现其他的HFS面板

端口扫描工具

通过shodan 找ChinaZ的hfs服务器,规则可以参考

原文intezer还把Nitol远控归为一个组织,然后针对MrBlack,Chinaz,Nitol进行了强关联,然后还很牵扯的扯上了我大铁虎组织,有兴趣可以看原文后面的代码比对。

原话:

ChinaZ正在托管MrBlack的Linux和Windows版本的实例,Windows版本已经显示了与旧版ServStart变体的代码重用连接。此外,我们发现更新版本的ServStart与MrBlack Linux实例一起托管。因此,MrBlack和ServStart演员之间可能存在关系,这表明ChinaZ和Nitol家族之间存在潜在的关系。

此外,ChinaZ Windows组件已被发现感染了Nitol组件,这表明这些参与者可能已经在已经感染过Nitol的服务器中运行。这强制了这两个威胁组之间可能存在更深层关系的假设。ChinaZ一直是一个相对活跃的威胁行动者群体,即使从早期阶段对其整体基础设施进行了很多改变,但其复杂程度正在慢慢发展。为了反映本博客中讨论的最相关的关系,我们决定使用以下图表来呈现它们:

原文链接

https://www.intezer.com/blog-chinaz-relations/

IOCs

ChinaZ Gh0st RAT variant with ‘Mother360’ key:

A9c54bdba780bcdc34f15b62f0ac1da8bcf4d65b4587d0d95bd2a9b5be5dfee6

908d817f81f9276f5afad1a33a7e2de7566fd5c967ad95782a4d904ca0e5efdd

9e24ba7304ae7c4f153fa8e97d2e6779d0e4377cee270b83d20d91afef7fe6f4

Tiger APT gh0st RAT:

D4262bbfe779d18b83b950bb993d3d46154bf1da5a4868ff6fa3e54c167eed71

BillGates:

92c191c41bcc701de5d633a0edb8cab6085ea13ede079651a2cc4a4ae54b29bb

6fd7aab3faabd5f071d1bc9bb039146c01acf67d941c24e99813b1375114e908

Infected ChinaZ DDoS tools with Nitol: B883b32264bcafd0c5ede5ff7399388feb51dbdf183f7ad52024c08cd221d574

23c69edc4695f6c2184484682757f024f0e20573dba599030fde1cdaeae9915c

ChinaZ.DDoSClient:

80952e211eb98773909f0f3e7ce783ce2f410327058a4760efad2ff0dbebcb88

D97ffba4169df8b206f6fc588ba594e84539b321fae9247723d6b42940116fa5

A8d0928098cc43e7b9e8ba3b03507d342489dea832816dfc083c356b346f8a3d

7495be154047e2c3c3b9735d61c6f1256eea776eb536e42f2ea76d5c11fc7f84

Win32/MrBlack:

D793e629df1b73b054f763106fcfedaaafadd8a0919192fc7d1925752a1d64fe

Linux/MrBlack:

F025b6d531e7dcba68a309636f622fbe8ee212d457c9cc00e7bf339dca65fec2

Fb69075f4383f3537af46d2098b3bcdcb7c1bdd6896c580cd9ead6f56fb5219c

ServStart:

4f4f24f0333ed6e8883971129f216fab608b6e4d0c97c58a2b3b6a1106c77bf7

7db53e95a1339d4d023d61087907a5b07bf6720a2dd88b12882a2c5c201a92ea

7e6a2448e06a1d97ff317a5dc4ed969cef077a3568fd214cbe61854b7ff1a6d1

New ServStart:

774af1499fa1558d0b31272b84b4fbbfcc6fea578898325610524aa3853b669d

E3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

D104daec5e990de0233efdde8747a1d829c90b7b9a2169a7bcf5744fa1d95e6e

本文源自微信公众号:黑鸟

人已赞赏
安全工具

​五眼联盟又双标:为监听要求科技公司"开后门"以访问加密数据

2019-10-16 10:48:02

安全工具

涉嫌谋杀、逃税、嗑药...杀毒软件McAfee创始人又要竞选总统了

2019-10-16 10:48:09

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索