黑產攻擊途徑升級，雲服務成重災區

在我們的印象裏，黑產以及相關的肉雞DDOS攻擊總是離我們很遠。可實際情況並非如此，特別是在雲服務大行其道的今天。

日前，騰訊反病毒實驗室就觀察到了國內雲服務中Gh0st遠控新樣本出現爆發式增長，並就此進行了分析溯源。在經過反病毒工程師一系列分析後，我們發現這些樣本在雲服務上的應用分為兩種：1，使用大量低配置雲服務器進行樣本生成和分發，明顯的典型黑產團隊化操作行為。2，黑客利用漏洞進行滲透和傳播病毒，然後控制肉雞進行DDOS窺探隱私甚至批量註冊等黑產攻擊行為。

一方面，雲服務質優價廉，可以低成本地進行混淆樣本批量生成，受到黑產從業者的青睞。另一方面，由於雲服務復雜的內外網環境，大大增加了病毒傳播的速度和危害。

端倪初露

10月中旬，我們的預警系統提示Gh0st樣本大量新增，針對這個情況，我們對新增樣本進行了分析和排查。

觀察到的 Gh0st 新樣本的增長趨勢：

Gh0st 新樣本在國慶期間有次異常的數量爆發，隨後幾天也有一定程度的新增。我們仔細分析了爆發期間的這批樣本，發現其文件結構非常類似，同時基本來自同一個雲服務，當時推斷應該是有黑手在雲服務器上批量生成樣本，為大量傳播做準備。

同時對後期增長的新病毒進行的分析發現，雖然病毒新文件增長不多，但影響範圍非常廣。從某病毒部署端泄露的情況來看，僅一個樣本部署實例就有近百次感染傳播。這大大增加了我們的緊迫感：

Hits，指的就是感染的用戶個數，這些用戶機器上已經運行病毒並且回傳信息了。

典型樣本解析：

順著這條線，我們抽樣了最近的新鮮樣本。由於這些樣本行為類似，本文著重使用一個樣本3724f09ee61**進行解析，該樣本本身是在雲服務中發現的，發現的時候名為System.exe。其行為如下：

木馬啟動後，首先通過拼接字符串得到它下一步所下載樣本的存放位置，然後再解密一個給定的字符串，即得到它所要下載樣本的下載地址：

對加密的下載地址首先通過Base64解碼算法進行解碼，再把解碼後的字節通過加0x7A，再異或0×19，解密出下載地址：

解碼後的數據為：

將該解碼後的數據繼續解密得到下載地址：

木馬將從上述下載地址中將樣本下載下來，並將文件後綴改為.exe放置在之前設定的位置：

直接查看該下載文件可看到它並不是一個PE文件，其內容已加密。木馬申請相應的內存大小，將下載到的文件加載到內存，並進行解密：

解密完成得到一個PE dll文件，該dll文件有一個名為updata的導出函數：

該dll文件並未保存到本地，而是被木馬直接加載到內存，這樣很大程度上避免了被殺毒軟件直接查殺的情況。木馬對加載後的dll獲取其導出函數updata的地址，傳入一個加密的字符串參數，進行調用。

在updata函數中，創建了一個用於接收命令的線程，並解密了其傳入參數，得到遠程控制端的域名及端口：fand***.f****.net:2017。在完成對控制端的解析之後，木馬開始與控制端進行通信，接收並執行控制端發來的命令，向控制端上傳信息，在被控端添加本地賬戶等：

向控制端上傳本機的系統版本、機器名、系統日期等信息：

添加本地賬戶：

其執行流程如下：

樣本追溯和攻擊流程

在這批樣本中，我們發現了以下特點：

1，在雲服務上發現的樣本網絡請求還是指向了雲服務。後門啟動之後又連向了同一個雲服務的其他主機，獲取該主機上的一個文件，這個文件才是遠控後門的主要邏輯模塊。

作者利用這種手段，來產生大量不同的不帶後門邏輯的Downloader文件，來躲過殺毒軟件監測。

比如上面典型樣本就是如此，打開它對應的下載地址如下：

PS：黑手估計是為了省事，竟然直接用了HFS…

2，遠控後門不僅僅用於竊取信息，還會用於DDOS，甚至批量註冊等各式各樣的黑產用途。通過我們對通信協議特征的分析，追述到的主控端系統：

這個系統不僅兼容Win還兼容大多數Linux系統，雲平臺通吃讓他成為了黑產人員的得力工具。

3、大量使用免費，難以追查的動態域名，非主流域名進行犯案。在我們觀察到的活躍樣本的DNS解析記錄中，大量出現了如f3322.net，.gnway.cc等免費試用二級域名的網址，也出現了類似.ren，.pw的各種非主流免費域名。

樣本集中提取到的部分仍在活躍的犯案域名：

這些域名由於免費，且註冊機制不完善，註冊者可以很容易的地偽造註冊信息來隱藏自己；同時對於免費二級域名網址，由於註冊資料掌握在私人公司手裏，也很難讓人追查到幕後黑手。

其中一個站點，隨意填寫的網站註冊信息：

4，傳播途徑仍為老舊漏洞；

繼續深挖後，我們找到了入侵雲設施所使用的攻擊文件，有一些非常熟悉的內容出現在我們眼前：

永恒之藍，永恒浪漫，很熟悉的名字，對，就是前段時間橫掃教育網的WannaCry所利用的漏洞。

如果在一般家庭用戶電腦上，這些漏洞應該半年前就被修復了。然而在雲服務上，服務器疏於管理，不能及時更新補丁，同時防火墻策略沒有正確設置的話，仍舊能被這些漏洞輕易入侵，置入各種後門，遠程主控等等。

5，攻擊圖譜：

攻擊者使用NSA工具從外部攻入雲設施後，使用內部設備作為跳板，繼續感染內網設備，同時將內網設備開放到外網控制其他設備，大大加劇了風險的傳播力度。

總結和反思

雲設施的復雜網絡環境，會導致被入侵後感染的威脅的危害呈指數型擴大。越來越多的惡意軟件開始轉移到雲設施上進行傳播和生成。

一般雲設施都在外部流量上做了嚴密防範，嚴格的防火墻策略和入侵檢測監控都是有的。然而，若一旦某臺設備被不幸感染，攻擊者通過內網發起攻擊的話，入侵難度就小得多。

在此次調查中，雲服務中內網設備感染了大量指向雲服務本身設備的後門，有力印證了上面這點。

因此雲設施的安全自動化運維勢在必行，雲服務提供包括打補丁，防火墻設置等自動或者人工的配置和咨詢服務，對提升雲服務品質，提升雲設施安全水準有很大作用。用戶購買和使用這些服務可以免去大部分安全方面的後顧之憂，保障業務健壯性和可持續性。

Gh0st與雲安全