nitol(nitori)

安天-捕风

1. 介绍

对Trojan[DDoS]/Win32.Nitol.C（下简称：Nitol.C）有所了解的反病毒研究人员或许都知道，Nitol最先是由鬼影工作室开发并通过某渠道将源码对外公开，致使网络上出现多种不同协议的Trojan[DDoS]/Win32.Nitol（下简称：Nitol）版本，所以国内又称“鬼影DDoS”。Nitol 家族是目前活跃在Windows环境下的主要botnet之一。大多数Nitol家族的衍生版本都有一个比较显著的特点是使用了lpk.dll劫持，通过lpk.dll劫持实现将样本在受害设备上进行多磁盘横向备份感染，达到了长期潜伏于受害系统并远程操纵攻击的目的。Nitol“狼藉”江湖多年，发展至今已经有8+不同协议的衍生版本，且据监控到的威胁情报显示，这些Nitol家族组成的botnet每天都会对互联网上的某个目标发起攻击，严重威胁互联网的安全！这里主要讲的是Nitol家族的Nitol.C衍生版本（见图1-1 生成器界面），一个Nitol家族衍生版本的韩国僵尸网络及其威胁情报。

图1-1 生成器界面

2. 基本信息

表1-1 样本基本信息

病毒名称

Trojan[DDoS]/Win32.Nitol.C

样本MD5

a48478dd55d8b099409bb829fb2b282f

样本大小

59KB

样本格式

Exe

3. 传播方式

从目前监控到的威胁情报看，Nitol.C的传播和感染方式主要有两个：

通过自动化批量IP网段漏洞利用，植入被控端木马。2017年上半年黑产最为流行的Windows自动化利用工具是"永恒之蓝"和st2，其中Nitol.C也存在使用这种自动化“抓鸡”方式进行部署botnet。

通过已有的botnet进行交叉感染。在已经部署的其他botnet上，通过批量执行远程下载命令（见图3-1 批量执行远程执行指令）进行快速植入韩版挂马站点webshare（见图3-2 webshare 挂马站点）的Nitol.C被控端木马。

图3-1 批量执行远程执行指令

图3-2 webshare 挂马站点

安天-捕风在自动化监控Nitol.C系列botnet时，也捕获到近百个上述类似的webshare挂马站点，见图3-2捕获的webshare站点：

图3-3 捕获的webshare站点

4. 样本详细分析

从图1-1 获得的情报看（控制端-生成器界面、生成被控端的默认文件名称为“鬼影”拼音首写字母，且和“国产”版Nitol的重合），该家族确为Nitol家族的衍生版 。但是Nitol.C并没有真正的继承Nitol家族的所有攻击模式，只具备syn flood、tcp flood、http flood三大攻击向量。

1)样本备份和实现自启动功能。

见图4-1 样本备份。木马运行时首先验证注册表项的互斥量值“Serpiei”存在与否来鉴定自己是否第一次运行，如果第一次运行，木马会进行备份并根据设置决定是否实现自启动功能。

图4-1 样本备份

2) C2配置解密。

通过读取存放.data区段的全局变量得到C2密文，进行ba64+凯撒+异或三重解密获取真实的C2。见图4-2C2配置解密：

图4-2 C2配置解密

3) 与C2建立通信连接，获取系统配置信息，向C2发送首包。见图4-3 与C2建立通信：

图4-3 与C2建立通信

4) 等待接收并执行C2远程指令。Nitol.C被控端主要实现的是互斥量释放、cmd shell、样本下载、DDoS攻击4种远程指令，其中主要执行的还是DDoS攻击。见表4-1 远程指令类型：

表4-1 远程指令类型

名称

偏移

协议值

备注

样本下载

0x0000-0x0004

0x10

互斥量释放

0x0000-0x0004

0x12、0x06

Cmd shell

0x0000-0x0004

0x14

DDoS 攻击

0x0000-0x0004

0x02、0x03、0x04

主要实现3大攻击向量：

0x02==>tcp flood

0x03==>http flood

0x04==>syn flood

5.电信云堤“肉鸡”情报反馈

据电信云堤可靠数据反馈，Nitol.C系列的botnets中有大量“肉鸡”潜伏在中国境内，而目前了解这些“肉鸡”的来源主要有2个：

通过地下网络黑产进行“肉鸡”收购。

通过漏洞利用工具进行批量抓鸡。也说明国内很多设备疏于维护，漏洞未能及时修补。

6.安天-捕风攻击情报

Nitol.C系列样本，安天-捕风在2017年6月初开始分类检出并进行自动化监控。监控Nitol.C系列的攻击情报结果显示，截至2017年9月12日Nitol.C的主要C2基本部署于韩国（占95.7%），共发起间歇性DDoS攻击1,249次，制造298起DDoS攻击事件，而主要攻击目标也基本分布于韩国（占93.86%），攻击类型主要使用syn flood（占98.68%）攻击模式，其主要攻击事件的时间集中于2017年6月19日——2017年7月3日之间。见图6-1- Nitol.C攻击时间分布：

图6-1 Nitol.C攻击时间分布

表5-1攻击情报，是最新Nitol.C的前20 DDoS攻击情报。

表5-1攻击情报

攻击目标

攻击类型

攻击目标地域

攻击开始时间

攻击者地域

备注

182.212.47.244

syn flood

韩国

2017-09-10 19:58:14

韩国

116.40.152.152

syn flood

韩国

2017-09-09 15:43:36

韩国

49.163.23.181

syn flood

韩国

2017-09-08 22:14:38

韩国

221.140.27.229

syn flood

韩国

2017-09-04 18:52:15

韩国

211.215.157.93

syn flood

韩国

2017-09-03 20:12:35

韩国

114.200.68.5

syn flood

韩国

2017-09-03 01:28:08

韩国

118.220.182.136

syn flood

韩国

2017-09-01 18:55:34

韩国

218.39.179.123

syn flood

韩国

2017-09-02 11:11:13

韩国

112.167.225.197

syn flood

韩国

2017-09-01 20:05:49

韩国

175.113.66.108

syn flood

韩国

2017-09-01 20:05:14

韩国

183.102.11.172

syn flood

韩国

2017-08-29 16:30:50

韩国

182.226.0.191

syn flood

韩国

2017-08-27 15:25:14

韩国

103.23.4.115

syn flood

日本

2017-08-26 22:06:29

韩国

59.14.20.109

syn flood

韩国

2017-08-26 21:38:31

韩国

49.142.213.168

syn flood

韩国

2017-08-26 15:34:56

韩国

120.50.134.85

syn flood

韩国

2017-08-26 15:32:09

韩国

14.46.109.30

syn flood

韩国

2017-08-26 14:59:13

韩国

222.122.48.49

syn flood

韩国

2017-08-26 01:05:30

韩国

175.212.35.110

syn flood

韩国

2017-08-20 19:22:40

韩国

125.180.190.31

syn flood

韩国

2017-08-22 20:51:57

韩国

近日，有媒体再次炒作因为某问题，韩国多个政府部门遭到来自中国的DDoS攻击。对此不禁要问：通过攻击流量的来源就可以鉴定真正的攻击幕后了吗？DDoS 攻击中“肉鸡”也是其中的受害者，要鉴定真正的DDoS攻击幕后不是依据攻击流量的来源，而是依据控制整个botnet的C2的操纵者。根据监控到的攻击威胁情报显示，自2017年1月1日至2017年9月12日，（监控到的）全球共发生125,604,685次间歇性DDoS攻击（见图 6-2全球DDoS攻击威胁情报），攻击目标是韩国的有102,730次，仅占据总攻击次数的0.08178%，而发起间歇性DDoS攻击韩国的C2主要来自于美国的约60%，其次是韩国本身约30+%，而来自中国和日本的仅占10%不到；C2位于韩国发起的间歇性DDoS攻击有3,390,321次，占据总攻击次数的2.670%；C2位于韩国发起的间歇性DDoS攻击是攻击目标位于韩国的33倍；C2位于韩国向中国境内发起的间歇性DDoS攻击是3,100,239次，占据C2位于韩国发起的间歇性DDoS攻击的94.14%，很直白的说明C2位于韩国的botnet主要攻击对象是中国境内目标；C2位于中国向韩国地域发起的间歇性DDoS攻击是37,015次，仅占据C2位于中国发起攻击量的0.07638% （37,015/48,461,408）。所以，这个锅，中国黑客到底背不背呢？You known！I known！

图 6-2 全球DDoS攻击威胁情报

7.总结

无论何情何理，未经授权肆意发起DDoS攻击都是不可取，通过DDoS攻击手段进行敲诈勒索更是违法行为！近些年来，大影响DDoS攻击事件越发频发，攻击流量也逐次刷新历史新高。DDoS botnet的“肉鸡”从单一的Windows环境延伸到Linux环境，现在也拓展到了IoT产业；DDoS botnet的控制端同样也从只兼容单一环境类型的“肉鸡”到完善兼容多环境类型的“肉鸡”；DDoS botnet的拓展也实现漏洞自动化利用进行“抓鸡”，达到了快速部署botnet并成型的效果。这些情况也都说明如今的大部分botnet所掌控的“肉鸡”量已经远远不止几千或上万台，每个botnet拥有的攻击能力都远远超于常人的想象，更何况根据监控到的情报显示，每次大型的DDoS攻击事件都是以组合“打怪”模式进行多个botnet组合攻击。从多维度分析表明，DDoS 攻击虽然是无害攻击，但也严重威胁了互联网的正常发展，对抗互联网的DDoS攻击，为互联网安全发展保驾护航的使命仍然任重而道远！

在此，也提醒广大互联网用户安全、健康上网，文明使用网络，安装杀毒、防毒软件并及时修补设备漏洞！

附录：参考资料

参考链接：

[1] http://m.bobao.360.cn/learning/appdetail/4318.html

MD5:

a48478dd55d8b099409bb829fb2b282f