详解DDoS工具 一款流行DDoS木马工具
DDoS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的,词文章主要是针对那些对一种被大量肉鸡使用,面向目标IP发起DDoS攻击的木马工具。
本篇文章是对一种被大量肉鸡使用,面向目标IP发起DDoS攻击木马工具的详细分析。
一 背景
近期,阿里云云盾安全攻防对抗团队通过异常流量分析和攻击溯源发现了一种被大量肉鸡使用,面向目标IP发起DDoS攻击的木马工具。经过取样和入侵分析,我们发现该DDoS攻击工具大部分是由于网络上某些服务器存在Mysql或SqlServer弱密码等原因被入侵,被黑客传入大量恶意软件,其中包括该款DDoS工具:
文件名:DbProtectSupport.exe MD5:412e6b0de470907cba75e00dde5a0086该DDoS工具运行后先通过反弹的方式主动与远程主机连接,远程控制机随后向该DDoS工具传递攻击的目标IP。DDoS工具随后使用自己所携带的Winpcap驱动直接操作网卡发包,向目标IP发动SYN流量攻击。
二 样本简介
该DDoS工具启动后,会先获取主机信息(系统版本、CPU架构,网卡信息,MAC地址),然后主动通过设定好的域名来连接远程主机。建立连接后,将这些信息发送给远程主机。同时,工具会创建线程等待主机发来攻击目标IP。当远程控制机与该DDoS进行一系列的准备工作通信后,会给其发送一个攻击指令包,该指令包会包含攻击目标IP地址。
该DDoS工具接收到攻击指令后,会自助将目标IP填充为SYN包,然后调用Winpcap驱动,直接操作网卡发送填充好的攻击流量包。攻击流程如图1所示。
图1 攻击流程
三 详细分析
3.1 网络流量分析
在测试机中(由于隐私需要,将部分机器IP、MAC地址隐藏)将该程序启动,通过分析网络流量会发现该程序在与远程控制机建立连接后会立即向远程主机发生一个“报告包”,该包包含了本机的系统版本,如图2所示.
图2 描蓝包所显示的数据有一段windows Server 2003(红框所示)
后续会进行一段时间的相互通信,通过数据分析发现,该通信包无明显特征,应该是为防止下断recv,增加分析recv包的难度。经过该段时间通信后,控制端会发送一个明显突变的包,然后受控机开始进行向外DDoS攻击。通过分析该包内容,该包明显相较于其他数据包不一样,对比随后就发生的DDoS攻击的目的IP地址,发现该包包含了DDoS攻击目标IP与端口号,因此可判断为该包为指令包,如图3所示。
图3 描蓝即为指令包,受控机收到该包后随后控制机即对外部进行DDoS攻击,其中红框即为目标攻击IP
3.2 文件逆向分析
通过对程序逆向分析,发现程序运行后会获取主机的信息(系统版本、CPU架构,网卡信息,MAC地址),如图4、5、6、7所示:
图4 系统版本
图5 CPU核心和架构
1
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统 Windows10 x64 企业TLSB版2022年7月一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10新雨林木风 Windows10 x86 专业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活系统,无
相关文章
- 策略使用加密狗进行加密
- windows 7蓝屏代码含义大全
- 如何只让电脑向U盘拷贝文件,禁止U盘向电脑拷贝文件、电脑文件防复制的方法
- 多个D-Link 产品含跨站脚本攻击以及拒绝服务漏洞
- 《解除好友2》:我们离暗网有多远
- Discuz!!论坛wap功能模块编码的注射漏洞分析
- 我们不知道的秘密? 黑客可以使用硬件破解GSM A5加密算法
- Win10微软小娜无法连接网络怎么办?微软小娜无法连接网络问题解决方法
- 网络上传图片常见问题 用好照片来帮你解决
- 用Dos命令进行加锁 防病毒格式化硬盘
- 笔记本win7系统无线网络出现红叉并且不能使用网络的解决方法
- “永恒之蓝”(Wannacry)蠕虫全球肆虐 安装补丁的方法
- EMC DiskXtender文件系统管理器远程栈溢出漏洞
- WinXP系统如何通过cmd命令对网络进行重置
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
系统大小:3.13GB系统类型:Win7 - 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
系统大小:3.13GB系统类型:Win7 - 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
系统大小:3.98GB系统类型:Win10 - 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
系统大小:3.98GB系统类型:Win10 - 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载系统大小:3.98GB系统类型:Win10
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载系统大小:3.98GB系统类型:Win10
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
系统大小:3.98GB系统类型:Win10 - 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
系统大小:3.13GB系统类型:Win7 - 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
系统大小:3.45GB系统类型:Win8 - 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
系统大小:3.45GB系统类型:Win8
热门文章
- 1华为手环6pro有游泳功能吗-支持游泳模式吗
- 2重装上阵新赛季有哪些重型武器_重装上阵新赛季重型武器列表
- 3使用win7中本地搜索功能时四个技巧快速找到文件的操作方如何用win7的搜索功能法
- 4premiere怎么更改素材序列? premiere更改序列设置的方法
- 5天天酷跑布鲁与冰原狼仔哪一个好 布鲁好还是冰原狼仔好
- 6斐讯k1路由器刷Breed BootLoader(不死UBoot)教程
- 7路由器密码忘了怎么办 无线路由器登陆密码忘了解决方法【详解】
- 8战双帕弥什超频晶币极如何获得_战双帕弥什超频晶币极获得方法
- 9Redmi AirDots 3 Pro体验如何 Redmi AirDots 3 Pro详细评测
- 10安全事件应急响应工具箱
常用系统
- 1新雨林木风 Windows10 x86 企业装机版2022年6月(32位) ISO镜像高速下载系统大小:3.15GB系统类型:Win10
- 2笔记本&台式机专用系统 Windows10 元旦特别 企业版 2020年1月(32位) ISO镜像快速下载系统大小:3.98GB系统类型:Win10
- 3新萝卜家园 GhostWin7 SP1 电脑城极速稳定版2022年1月(32位) ISO镜像高速下载
系统大小:3.13GB系统类型:Win7 - 4老毛桃Ghost Win8.1 x32位 多驱动纯净版2018年8月(免激活) ISO镜像免费下载
系统大小:3.45GB系统类型:Win8 - 5番茄花园 Ghost XP SP3 海量驱动装机版 2020年7月 ISO镜像高速下载
系统大小:3.96GB系统类型:WinXP - 6新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年3月(32位) ISO镜像高速下载系统大小:3.98GB系统类型:Win10
- 7笔记本&台式机专用系统GhostWin7 64位旗舰版2018年10月(64位) 好用下载
系统大小:3.91GB系统类型:Win7 - 8新萝卜家园 GhostWin7 SP1 电脑城极速稳定版2019年10月(32位) ISO镜像高速下载系统大小:3.13GB系统类型:Win7
- 9番茄花园Ghost Win7 x64 SP1稳定装机版2020年6月(64位) 高速下载
系统大小:3.91GB系统类型:Win7 - 10笔记本&台式机专用系统 GhostWin7 32位新春特别 旗舰版2020年2月(32位) ISO镜像免费下载
系统大小:3.13GB系统类型:Win7