ddos會導致什麼後果（暗雲Ⅲ危害不僅僅是DDoS）

2023-07-30 06:24:43

0×00概況

前面對暗雲的分析報告中，騰訊電腦管家安全團隊基本摸清暗雲Ⅲ的感染方式和傳播方式，也定位到被感染暗雲Ⅲ的機器會在啟動時從服務端下載任務腳本包——ndn.db文件，且該文件會常進行更換。此外，撰寫本文的同時，騰訊電腦管家安全團隊也收集到多個不同功能的ndn.db文件，以下對暗雲Ⅲ危害展開具體分析。

0×01 暗雲payload行為分析

在解析db文件前，先過一次暗雲payload行為：

木馬每5分鐘會聯網下載一次配置文件 http://www.acsewle.com:8877/ds/kn.html

該html是個配置文件，木馬會檢查其中的版本號，並保存，其後每次都會比較，以確定是否更新。

木馬乾活模塊lcdn.db其實為lua腳本解析器，主要功能下載任務db，進而解析執行：

0×02 任務腳本文件結構

通過分析，得知ndn.db的文件結構，大致如下：

struct f_db{ DWORD fileLen; // lua腳本bytecode文件大小DWORD runType; // 運行類型char fileName[24]; // lua腳本文件名char fileData[fileLen]; // lua腳本bytecode內容 }

如下圖中，紅色框為文件大小，灰色框為運行類型，藍色框為文件名，紫色框為真實的bytecode內容。

根據文件結構，進而可從ndn.db中提取到多個lua腳本的bytecode。

0×03 任務腳本功能分類

分析得知，其使用的lua版本為5.3，是自行更改過虛擬機進行編譯。使用普通反編譯工具反編譯後，只能得到部分可讀明文，經過分析統計可知道暗雲Ⅲ現有發布的功能大致有以下幾類：

1、統計類

解密得到的111tj.lua腳本，實則為參與攻擊機器統計腳本。

該腳本主要作用為：每隔五分鐘，帶Referer：http://www.acsewle.com:8877/um.php訪問cnzz和51.la兩個站點統計頁面，以便統計參與攻擊的機器數及次數。

統計頁面地址為：

http://c.cnzz.com/wapstat.php?siteid=1261687981&r=&rnd=1626837281http://web.users.51.la/go.asp?svid=15&id=19133499&tpages=1&ttimes=1&tzone=7&tcolor=24&sSize=1802,850&referrer=&vpage=http://www.acsewle.com:8877/tj.html&vvtime=1489555372270

訪問流量：

2、DDoS類

這類腳本，簡單粗暴，直接do、while循環，不停地對目標服務發起訪問。如下為dfh01.lua中代碼，其目標是針對大富豪棋牌遊戲。

L1_1.get = L4_4L4_4 = {"182.86.84.236","119.167.151.218","27.221.30.113","119.188.96.111","113.105.245.107"}while true dourl = "http://" .. "web.168dfh.biz" .. "/"L1_1.get(url)url = "http://" .. "web.168dfh.cn" .. "/"L1_1.get(url)url = "http://" .. "web.168dfh.top" .. "/"L1_1.get(url)end

又如，dfhcdn01.lua中：

while true dosendlogin("114.215.184.159", 8002)sendlogin("114.215.169.190", 8005)sendlogin("114.215.169.97", 8002)sendlogin("121.41.91.65", 8005)sendlogin("123.56.152.5", 8000)sendlogin("121.199.2.34", 8002)sendlogin("121.199.6.149", 8000)sendlogin("121.199.15.237", 8002)sendlogin("101.200.223.210", 17000)sendlogin("121.199.14.117", 8002)sendlogin("112.125.120.141", 9000)sendlogin("123.57.32.93", 9000)end

再如，在new59303.lua中：

3、CC攻擊類

解密得到的yiwanm001.lua腳本中，包含有各類UserAgent，在發起攻擊時，會隨機使用這些UserAgent來對目標網站發起訪問，此外該腳本還將監測是否跳轉到驗證碼頁面，並自動提取Cookie完成訪問。

隨機UA：

獲取Cookie：

這個腳本攻擊的目標為m.yiwan.com。為了精確到指定目標，腳本中還寫死了兩個伺服器ip。

L6_6= "http://139.199.135.131:80/"L7_7= "http://118.89.206.177:80/"

攻擊流量截圖：

又如，攻擊腳本jjhm77.lua腳本中，從http://down.jjhgame.com/ip.txt獲取到ip地址和埠：

之後按照目標服務所需的特定格式構造隨機數據：

循環發送，開始攻擊：

0×04 危害及建議

暗雲自帶lua腳本解析器，攻擊全程文件不落地，具體需執行任務的db文件也是隨時在服務端更新發布，如此增大了殺軟查殺難度。坐擁上百萬的暗雲控制端（數據來自：CNCERT[http://www.cert.org.cn/publish/main/9/2017/20170612133251896100394/20170612133251896100394_.html]），已經可以不需要肉雞無間斷髮起連接，即可完成大規模的指向性攻擊。如此的好處便是在用戶無感的情況下，佔用用戶帶寬，完成攻擊。

到目前為止，騰訊反病毒實驗室發現的暗雲攻擊目標大多為各類棋牌、遊戲伺服器。截止當前，暗雲控制端url已自行解析到127.0.0.1，下發url也已失效。但不確定暗雲下一次開啟時，任務db文件中lua腳本不會是更加惡意的功能。

所以，騰訊電腦管家建議用戶積極採取安全防範措施：

1、不要選擇安裝捆綁在下載器中的軟體，不要運行來源不明或被安全軟體報警的程序，不要下載運行遊戲外掛、私服登錄器等軟體；

2、定期在不同的存儲介質上備份信息系統業務和個人數據。

3、下載騰訊電腦管家進行「暗雲」木馬程序檢測和查殺；

0×05 附錄（暗雲攻擊過的ip地址及URL）

歷史攻擊過的IP列表：

114.64.222.26103.254.188.247114.64.222.2760.5.254.8260.5.254.8160.5.254.47218.29.50.40218.29.50.3960.221.254.22960.221.254.230122.143.27.170182.106.194.8327.155.73.1727.155.73.16125.89.198.29182.106.194.84111.47.220.47111.47.220.46111.20.250.133123.128.14.174106.59.99.46116.55.236.92218.5.238.249106.59.99.47117.27.241.114117.27.241.18114.215.100.76113.12.84.24113.12.84.2314.215.100.75112.90.213.51112.90.213.5258.223.166.19122.5.53.120122.5.53.12158.51.150.40219.146.68.119114.80.230.238114.80.143.223114.80.230.237112.25.83.28120.221.25.169120.221.24.125117.148.163.80112.25.83.29120.221.24.126117.148.163.79182.140.142.40118.123.97.16118.123.97.17220.165.142.221182.140.142.39218.76.109.67222.243.110.83222.243.110.82120.221.25.170113.5.80.249218.60.109.79113.5.80.248218.60.109.8058.51.150.52122.246.17.9120.199.86.132122.228.30.147122.228.30.38122.228.11.175116.211.144.70218.11.0.9118.178.213.63116.211.168.169116.31.100.147116.31.100.3116.31.100.144116.31.100.148116.31.100.170122.246.17.15116.211.144.240116.211.144.129116.211.144.242116.211.144.206116.211.144.238116.211.144.239116.211.144.219114.215.184.159114.215.169.190114.215.169.97121.41.91.65123.56.152.5121.199.2.34121.199.6.149121.199.15.237101.200.223.210121.199.14.117112.125.120.141123.57.32.93182.86.84.236119.167.151.21827.221.30.113119.188.96.111113.105.245.107139.224.32.159139.224.68.202139.224.35.106139.196.252.62139.224.35.175139.196.252.245139.224.33.199139.224.68.48139.224.35.132139.196.252.61139.224.35.188139.199.135.131118.89.206.177

歷史攻擊過的URL列表：

http://senios.138kkk.comhttp://senand.138kkk.comhttp://m.yiwan.comhttp://oss.aliyuncs.com/uu919/api/787go.confhttp://oss.aliyuncs.com/uu919/api/787go-socket.confhttp://senres.138kkk.com/sen/ios/filelist.luahttp://senres.138kkk.com/sen/ios/filelist.luahttp://58.51.150.52/sso/ios/filelist.luahttp://ssores.u2n0.com/sso/ios/filelist.luahttp://pcupdate.game593.com/?f=getLoginIntro&time=%s&key=%shttp://senios.uts7.comhttp://senand.uts7.comhttp://139.199.135.131:80http://118.89.206.177:80

,