事件背景
近日,某用户在日常使用计算机时,发现设备上网络异常连接以及不明进程。研究人员对该主机进行了取证分析,发现主机感染了一种针对Web服务发起DDos(分布式拒绝服务)攻击的恶意程序。
攻击调查
定位受害者主机上的恶意文件,磁盘上有3个相关联文件:~1.log、desktop.ini、NvDisplai.exe
分析~1.log文件,发现了异常行为,目标执行了下载操作,下载yoy001.ini并持久化到用户临时目录下的desktop.ini
继续分析desktop.ini文件,主要功能就是下载恶意文件并保存到NvDisplai.exe
样本攻击行为
NvDisplai.exe 程序执行后会先隐藏窗口,在temp目录创建一个空文件independent.lock,然后与C2服务器建立连接,等待服务端下方攻击指令。
C2 通信过程
首先恶意进程向服务端发送"ok",服务端回复"1337",成功建立连接,之后服务端就可以下发控制指令。
- 控制指令
指令
行为
ok
建立连接
.stop
全部停止攻击
.check
对列表中ID停止攻击
.browser/.cookie
针对浏览器字段的攻击
.http/.http_fp/.http_dl
针对http协议的攻击
.post
Post请求攻击
.ws
针对websocket的攻击
域名调查
测试连接到中控域名,中控仍处于存活状态,有下发攻击指令(样本比较活跃,测试了几分钟,发起了多次攻击)
中控域名whoami查询,域名被托管在GoDaddy(GoDaddy是从事互联网域名注册及网页托管的上市公司 - wiki),处于有效状态
|
字段 |
内容 |
|
注册商 |
GoDaddy.com,LLC |
|
更新时间 |
2024年10月28日 |
|
注册时间 |
2023年11月06日 |
|
过期时间 |
2025年11月06日 |
域名解析的IP位于美国加利福尼亚州圣何塞,所属于美国PEG TECH INC.旗下运营商IP
对IP进行反查,发现有3个域名处于存活状态,可以正常通信
样本代码分析
- 程序执行后与C2建立连接
- main_handleCommands 用来接收控制指令处理 .stop 和 .check 指令,用来结束攻击
- main_NewAttack 开始构造攻击数据包比对控制命令名,以及参数个数,构造对应的攻击包
IOC
|
Key |
Value |
|
name |
NvDisplai.exe |
|
md5 |
1252cd621a895b85b6c0e218f3d1632d |
