Lizard Squad最新木马样本分析
最近阿里安全研究实验室在2015年5月19日捕捉到全球臭名昭著的“蜥蜴黑客组织(Lizard Squad)”最新的木马蠕虫,该黑客组织可谓与另一黑客组织“匿名者黑客组织”(Anonymous)齐名,擅长动用僵尸网络进行分布式拒绝服务(DDOS攻击),去年的Sony娱乐和Xbox Live就遭受该组织的DDOS攻击,这里我们将对最新的木马蠕虫样本进行深入剖析。
阿里安全研究实验室在2015年4月份第一次在某智能设备里面捕捉到该木马样本时,该僵尸网络的C&C服务器节点已经失效,样本信息如下。
在这个样本挖掘出两个种马服务器和C&C服务器,从而推测以上样本应该是第二次变种样本,这两个IP是176.10.XXX.XXX和69.163.XX.XXX,VT对这两个IP的评估结果如下。
看上面两张图里面的检测时间是在2014年10月份和12月份,这两个时间段的前后该组织攻击了Sony PlayStation网络和Xbox在线网络。
我们着重讲述一下我们最新捕捉到的样本和其功能,该木马有如下特点:
1.弱口令扫描telnet服务
2.弱口令登录到受害者机器后从木马服务器下载脚本bin2.sh到本地运行,然后通过tftp把各种硬件体系的木马下载下来执行,总有一款适合你
3.利用busybox的tftp客户端或者wget下载相应的木马蠕虫软件并运行
4.连接C&C服务器接受指令,如果下发的是scanner on的指令,它将执行弱口令扫描并感染其它主机
5.停掉telnetd服务和sshd服务,目的是为了防止反复感染同一台机器
6.连接C&C服务器接受指令时间频率是5分钟,如果收到攻击某个ip和端号还是时长,则对该IP进行ddos攻击:
7.该僵尸木马共享同一套源代码,分布支持的平台有arm/mips/ppc/mips64/i586/i686/mipsel/mips32/sparc/superh
8.该僵尸木马为了提升兼容性,不会依赖任何动态库,调用api都是以syscall的方式来进行调用,如下图是i686和arm下面的样本中syscall的调用方式,以函数open为例:
arm:
8.该木马会攻击任何具有开放telnet服务且有弱口令的智能设备或系统中
到今天为止只有部分杀软能够查杀,很多主流杀毒软件没有覆盖:
最后,从Lizard Squad最新一条twitter内容可知,Lizard Squad正在计划干下一票,这个变种也应该是最近才上线的,我们也将通过它们的僵尸网络的通信协议来监控谁将是下一个受害者,敬请期待。
Lizard Squad的C&C服务器上常常也会放上他们引用的twitter页面。
附:”蜥蜴“组织的“战绩榜”
1.2014年8月18日,游戏“英雄联盟”服务器被该组织DDOS攻击打挂,该组织第一次“崭露头角”
2.2014年11月23日,该组织承认DDOS攻击了游戏“命运”的服务器
3.2014年8月24日/12月8日,Sony的PlayStation网络遭受DDOS攻击,该组织表示为此负责
4.2014年12月1日,Xbox在线被该组织攻击
5.2014年12月2日,该组织黑掉了machinima.com网站
6.2014年12月22日,该组织DDOS攻击了朝鲜互联网
7.2014年圣诞攻击,针对Xbox在线和Sony PlayStation网络
8.2014年12月26日,声称攻击了3000多洋葱路由匿名网络的中继节点,不过Tor负责人说言过其实
9.2014年8月24,航班炸弹威胁,FBI介入调查
10.2015年1月26日,DDOS攻击facebook和instagram
11.2015年1月27日,黑掉美国著名歌手Taylor Swift的Twitter和Instagram帐号,宣称要拿她的裸照换比特币,Taylor Swift说你随便玩,我没有祼照在这里面
Lizard Squad Twitter地址:
http://en.wikipedia.org/wiki/Lizard_Squad
https://twitter.com/LizardLands
根据我们的监测,截至发稿时,该黑客组织正在利用僵尸网络攻击如下目标:
1、http://www.twit**.tv/
(192.16.71.***)
2、https://www.voxili**.com/
(109.163.224.**)
关于阿里安全研究实验室:
阿里巴巴安全研究实验室,隶属于阿里巴巴集团-基础安全部,致力于前沿安全威胁研究,力争成为世界顶级的安全研究机构。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 总书记深深牵挂雪域高原上的人们 4994503
- 2 小米首款汽车起售21.59万 贵吗? 4968744
- 3 雷军“朋友圈”表情包火了 4892314
- 4 抓住“热辣滚烫”的“春日经济” 4721004
- 5 黄圣依杨子直播事件6人被刑拘 4600783
- 6 小米汽车27分钟大定突破50000台 4597022
- 7 女子住民宿发现多个隐藏空间 4453229
- 8 低空经济概念股暴涨 4363876
- 9 面具男用病毒针扎人系谣言 4208136
- 10 博主称小米SU7展车车门缝没对齐 4129079