啟明星辰ADLab聯合電信雲堤揭示殭屍網絡「黑雀攻擊」

每當聽到「螳螂捕蟬 黃雀在後」或是「黑吃黑」這樣的字眼兒時，人們都會自然的聯想到黑勢力對決或是黑社會題材的電影。然而，如今在利用網絡從事不法行為的黑客圈，這種「黑吃黑」的現象卻也日漸猖獗起來，尤其是在殭屍網絡黑產中。

近日，國內著名網絡安全企業啟明星辰ADLab聯合電信雲堤在對殭屍網絡黑產的分析中發現：目前Linux/Unix伺服器中最為流行、感染規模最大的殭屍網絡之一的Billgates殭屍網絡中就存在大量的黑雀攻擊行為。

值得關注的是，雖然很多安全團隊都對Billgates殭屍做過深度的技術分析，但是大多都忽略了隱藏在第一級黑客「螳螂」之後攻擊實力強悍的「黑雀」，乃至是「黑雀」之後還有終極BOSS——「大黑雀」，致使很多安全團隊對這種隱藏頗深的「三級黑客架構攻擊模式」防不勝防。

那麼，這種黑雀攻擊究竟是如何展開的呢？啟明星辰ADLab聯合電信雲堤對三級黑客（大黑雀、黑雀、螳螂）進行黑客身份信息的追蹤，對其中的攻擊手段進行了揭示。

 

「偷梁換柱」式的攻擊

Billgates殭屍是中國區殭屍網絡規模最大的4個殭屍網絡之一(另外三個為Boer_Family 、Remote-trojan.Nethief、Yoddos_Family)，曾多次進行超過100Gbps攻擊流量的大規模DDoS攻擊，可謂破壞力巨大。該殭屍流行於Linux/Unix平臺，後被改造應用於Windows平臺的感染，這又增加了危害面。此外，Billgates殭屍在Linux/Unix平臺下還支持內核模式的DDoS攻擊。

啟明星辰研究員表示，Billgates 殭屍最主要的一個特性是留有黑雀攻擊的接口，大量的黑客利用這個接口來對下遊黑客進行黑雀攻擊。同時，其中還有一種有趣的攻擊方式——偷梁換柱，即一個新的黑雀利用技術手段將原始黑雀取而代之。

在研究中，啟明星辰團隊根據發現的殭屍樣本找到了生產該殭屍的原始殭屍生成器，利用該生成器生成的所有殭屍程序中存在一個原始黑雀C&C；其中的一些黑客發現了這種情況，並利用內存補丁技術【由於原始殭屍生成器通過虛擬機保護殼進行了虛擬化保護，採用內存補丁技術可以很好的繞過這種高強度的保護技術】將原始黑雀C&C替換成為自己的C&C後出售給另外一批黑客使用，以利用這些黑客來幫助自己感染肉雞。（詳細的分析報告將在啟明星辰ADLab微信公眾號：v_adlab以及官方網站：adlab.venustech.com.cn同步發布）

 

傳染伺服器數量驚人

由於原始黑雀(被置換掉的黑雀)存在於Billgates殭屍的模板文件中，因此啟明星辰ADLab對原始黑雀進行追蹤分析並發現，該黑雀至少控制著166個螳螂殭屍網絡。

啟明星辰ADLab根據電信雲堤提供的國內抽樣監測數據分析顯示，國內受到感染的伺服器主機有8千多臺，值得注意的是這並非是Billgates殭屍網絡的控制總量，這8千多臺僅僅只是眾多Billgates黑雀中的一個黑雀所感染的伺服器量。顯然，若把所有的黑雀感染的伺服器累加起來，數量規模將相當龐大。對此，電信雲堤特別將被傳染的伺服器覆蓋區域進行了統計。

該地圖數據由電信雲堤提供

從覆蓋區域上看，目前該黑雀所控制的殭屍伺服器主要分布在北京、浙江、河南和廣東一帶。全國除了青海和臺灣沒有監測到感染實例，其他省份均有不同程度的感染。

 

「黑吃黑」鏈條複雜

在研究中，啟明星辰ADLab同時還發現，在這個「黑吃黑」的鏈條中，黑雀或是螳螂的身份並不是單一固定的，殭屍網絡的攻擊渠道也不是唯一的，攻擊方式非常混亂複雜。

比如，啟明星辰ADLab對該螳螂的追蹤分析發現，其和「Death」殭屍網絡中的一個網名為yanke的黑雀為同一個人，這個黑客至少採用了Billgates殭屍和「Death」殭屍兩種殭屍程序作為攻擊武器發展殭屍網絡。在兩種類型的殭屍網絡中，該黑客處在兩種不同角色。在「Death」殭屍網絡中，該黑客作為黑雀，給螳螂植入後門的同時，自己也被大黑雀植入後門，而在Billgates殭屍網絡中，他單純的作為螳螂，卻渾然不知自己的攻擊武器中被植入了後門。

啟明星辰ADLab通過長期對Billgates殭屍程序分析發現，幾乎絕大部分的Billgates殭屍都留有這種類型的後門，並且我們查閱到雖然多個安全團隊都對Billgates殭屍做過深度的技術分析，但都忽略了其中攻擊實力強悍的黑雀。更嚴峻的是，Billgates殭屍家族中還存在著無數這樣的黑雀，他們利用普通黑客的攻擊資源來發展自己的肉雞，以達到坐收漁利的目的。

由此，對於廣大網絡安全團隊來說，面對日益猖獗且日益混亂複雜「黑雀攻擊」黑產鏈條，當引起高度重視，需要提升防範意識，增加防範手段，以充分保障網絡安全。