深入研究 DDoS 攻击(包括来自多个蜜罐的恶意 IP)

信息安全 ddos 远程桌面 rdp
2021-08-17 22:04:51

我一直在追踪一系列 DDoS 尝试,我想知道是否有其他人看到过类似的情况。

我已经下载了以下 Powershell 脚本,该脚本会抓取终端服务器 (RDP) 事件日志并将它们转储到 CSV。我已经修改了脚本以针对我的所有服务器执行并将整个结果集转储到 CSV 中,这样我就可以看到正在发生的事情的完整网络视图。

用于抓取终端服务器事件日志的 Powershell 脚本

A 部分:DDoS 模式

(根据上述PowerShell脚本拉取TS\RDP事件日志数据的结果):

  1. 机器名称\登录名:WIN-XXXXXXXXXXX\Administrator超过 90% 的攻击来自具有这种名称格式的机器,包括

    • WIN-8ROR2EODLHP\管理员
    • WIN-NR0D8EUPULR\管理员
    • WIN-FSIMHI55CBM\管理员

仅举几例(自 2011 年 2 月以来,有超过 80 种不同的机器名称遵循这种格式)。

  1. 每个机器名称都会在短时间内(持续几秒钟到大约不超过 20 分钟)对我的一系列服务器进行一系列“重新连接”和“断开连接”尝试,然后再也看不到该计算机名称再次。IP 地址都显示“本地”或空白(无)。早在 2011 年 2 月,这些攻击开始时相隔数月,但逐渐增加。今天我每天看到 3-4 组攻击。

  2. 在我的网络前端,我正在运行一个自制的 DDoS 嗅探器,它检测过时的 RD 连接(如 DDoS 攻击),并会自动断开会话并将 IP 地址列入黑名单。这可以防止攻击关闭我的 RDP 服务。

B部分:蜜罐攻击者

因此,我创建了一个没有域或内部网络访问权限的隔离“蜜罐”虚拟机,并将有问题的网络流量重定向到它,从而允许单个 DDoS 攻击成功地将远程会话从欺骗性重新连接尝试实例化到这台机器。

这是发生的事情:

  1. 他们试图通过以下过程安装木马Trojan:Win32/Skeeyah.A!rfn :

C:\Users\{loggedinUser}\AppData\Local\Temp\5\cssrs.exe; 进程:_pid:12320,进程开始:130880953025982534

  1. 他们用rdpwrap.dll (来自 GitHub)的修改版本替换了与“远程桌面服务器服务”相关的可执行文件,从而强制所有新的远程连接通过他们的代码执行

  2. 他们创建了一个名为“WindowsUpdate”的新本地用户,然后以该用户身份登录,令人惊讶的是,安装了SteamCounter-Strike

    • 他们还使用C:\Windows\System32\netsh.exe为私有、域和公共网络的“TCP\Inbound\ALL”添加了一个名为“远程桌面”的新防火墙规则,并在接下来的 3 天(登录和注销服务器多次使用新创建的 WindowsUpdates 用户,来自多个IP 地址 [请参阅下面的“已知 IP 地址”])玩了总共 15 个小时的游戏。

我还能够登录到他们的 Steam 帐户,该帐户以feteryntri@yandex.com的身份登录。

我查看了他们的账单信息,该信息使用了一张属于来自亚利桑那州米尔福德的“LB Stein”的美国运通卡(故意省略了第一个地址行,但在文件中) - 但亚利桑那州没有米尔福德,在线地图更正了账单状态到 CT。

从他们的蒸汽账单信息中反向查找电话号码确实在康涅狄格州米尔福德找到了一个 Loribeth Stein。我打电话给她,告诉她似乎有人在使用她的信用卡信息——但她明确表示,不管我有什么信息,她都不想和我说话或工作。(有问题?为了这篇文章,我假设她根本不相信我和/或认为我是一个诈骗电话)

我还在我的蜜罐服务器上的事件日志中发现了一个“凭据验证”事件,显示如下:

在此处输入图像描述

[2015 年 11 月 4 日更新]

在使新 VM 脱机之前,我获取了 Windows\Temp 目录的副本、登录用户的配置文件文件夹(C:\Users\{LoggedInUser}\,包括隐藏的\appdata)和机器注册表的备份。我花了几周时间梳理 ntuser.dat 配置单元和 IE 缓存、注册表和C:\Users\{LoggedInUser}\appdataWindows\Temp中的所有其他文件,并推断出以下(以前未记录的)信息:

  1. 从以下 URL 下载了恶意 .DER(证书)文件:

警告:我不建议访问此 URL! 

hxxp://ocsp.omniroot.com/baltimoreroot/MEUwQzBBMD8wPTAJBgUrDgMCGgUABBTBL0V27RVZ7LBduom%2FnYB45SPUEwQU5Z1ZMIJHWMys%2BghUNoZ7OrUETfACBAcnqkc%3D

(该文件没有扩展名,并且在记事本中显示垃圾,所以我使用了 TrID File Identifier,确认该文件为 .DER 证书文件,并在 Google 中搜索 URL 发现以下文章:OCSP.OmniRoot.com- Allen Ray @ pcinfectionskiller.com 的病毒清除指南

  1. 根据 IEBrand 日志,IE 被打上了烙印,但我不知道出于什么目的

  2. Internet Explorer 用于浏览以下站点(并使用相关电子邮件成功登录):

    match.com 作为queenb69rules@comcast.net

    gmail.com 为gsmiles008@gmail.com (Gabriel Chariton***)

***根据YourITToday.com-1YourITToday.com-2的说法,Gabrial Chariton 是一个众所周知的骗子

  1. Tweaking.com 的 Registry 备份已下载、安装,并将以下内容备份到 C:\RegBackup

    • 本地用户配置文件文件夹
    • 本地用户注册表和 ntuser.dat 文件
    • C:\Windows\ServiceProfiles\LocalService\
    • C:\Windows\ServiceProfiles\NetworkService\
    • C:\Windows\System32\Config***

***此文件夹是由 Microsoft 脚本 @C:\Windows\System32\gatherNetworkInfo.vbs 生成的网络和机器信息的集合

  1. (或 4.2)一个名为dos_restore_renamed.cmd的文件被放置在 C:\RegBackup 目录中。文件内容可以在这里查看:dos_restore_renamed.cmd.txt@textuploader.com"

  2. Internet Explorer 历史记录被清除

  3. 一些事件日志(包括安全和终端服务器)被部分清除 - 或以某种方式停止记录几个时间段,从 40 分钟到超过 2 小时不等。

C 部分:已知的恶意 IP 和跨多个蜜罐的共性

  1. IP 用于使用攻击者创建的凭据访问我的蜜罐:
    • 128.71.5.22
    • 128.71.5.53
    • 130.225.59.25
    • 148.251.49.172
    • 154.70.47.90
    • 169.55.19.147
    • 169.55.19.150
    • 169.55.27.134
    • 173.220.35.194
    • 176.226.149.255
    • 178.175.136.114
    • 185.26.144.103
    • 192.3.187.112
    • 198.154.60.102
    • 198.154.60.174
    • 198.58.88.94
    • 199.89.54.108
    • 206.217.140.37
    • 207.182.153.138
    • 37.57.1​​5.23
    • 46.161.40.15
    • 47.22.21.110
    • 5.56.133.145
    • 50.248.158.50
    • 50.255.17.233
    • 77.234.43.139
    • 77.234.43.180
    • 78.68.165.231
    • 80.4.157.18
    • 83.69.0.58
    • 89.163.148.76
    • 93.115.92.244

[2016 年 2 月 1 日更新]

自从我最初的蜜罐问世以来,我已经创建并跟踪了几个额外的蜜罐,以寻找更有意义的数据。以下是这些发现的摘要......

  1. 我的第二个和第三个蜜罐看到攻击者创建了一个名为“temp”的新用户(与原始蜜罐的“WindowsUpdate”用户相反)。这个帐户的使用,一旦登录,与第一个蜜罐或多或少是一组完全不同的恶意活动,但有两个 IP 地址特别用于访问我上网的每个蜜罐,登录作为攻击者在创建帐户后立即创建的用户。

    • 5.56.133.145
    • 176.226.149.255

  2. 此外,以下 IP(用于登录我的原始蜜罐)与 2 个被我的 DDoS 网络防火墙列入黑名单的 IP 共享除最后一个八位组以外的所有 IP:

    • 46.161.40.15

    列入黑名单的类似 IP:

    • 46.161.40.11
    • 46.161.40.20

FreeGeoIP.net 得出的结论是 46.161.40.15 和 176.226.149.255 都来自俄罗斯,而 5.56.133.145 归美国加利福尼亚州的 RIPE.net 所有,但根据 whois.arin.net 可能已提供给 RIPE.NET 客户. www.RIPE.net/whois 说它属于德国的地址和电话号码。

D 部分:网络配置

一般来说,我的服务器都打开了 FTP、Web 服务和 RDP 端口。

RDP 使用 NLA

大多数或所有其他端口在从网关到单个服务器的多个阶段被阻止,包括防火墙、组策略和标准安全实践。

E 部分:前进

  1. 已联系 STEAM 支持并被告知他们将调查此问题,我不会更新结果

  2. 联系了美国运通,但他们无法将账单信息与活动账户匹配

  3. 已联系 cywatch@ic.fbi.gov - 尚未收到回复

2个回答

事实证明我之前的假设是正确的。这些 DDoS “攻击”实际上是Makost[dot]net式僵尸网络的副作用,并不是攻击者的意图(事实上,它们似乎专门设计为不会导致服务中断,这会让我们意识到他们的活动)。这些攻击实际上是试图访问我的服务器,以便将服务器时间出租\出售给第三方。

攻击过程(即“无意的 DDoS”)

攻击过程是这样的:

  1. 僵尸网络将开始以微型字典攻击欺骗性重新连接尝试的形式将分批的交错登录尝试集中到看似随机的 IP 块中这些尝试总是以交错的批次出现,并且似乎是自动化的或按某种时间表运行,可能由真人排队。

  2. 登录尝试最常见的开始是尝试使用“ .\Administrator ”(或“ local\Administrator ”)作为域\用户名和“ Administrator ”(与用户名相同)作为密码登录。
    如果“管理员”失败,但服务器在默认 RDP 端口上响应,他们最终会回来(几秒、几分钟、几小时、几天或几周后)知道用于 RDP 到我的服务器的实际用户名和这些用户拥有 RDP 的服务器名'd 进入(大概是从受感染的客户端机器中收获的)。大多数情况下,它会尝试使用用户名作为密码登录(即“ {username} ”\“ {username} ”,如 jdoe\jdoe、owner\owner 等)。

  3. 失败的登录尝试似乎被僵尸网络\攻击者挂起或保持打开状态,最常见的是某种暴力会话重新连接尝试,留下陈旧的 RDP 会话并占用端口。当一次收到多组攻击时,这就是导致我们拒绝服务的原因。

    • 看起来这个僵尸网络故意错开他们的攻击,以避免被发现他们的真实身份。他们希望看起来像孤立的\无关的错误登录尝试,稀疏地分布在多个服务器上。攻击者似乎不希望同时出现多个波,因为拒绝服务会阻止他们自己的字典\蛮力攻击连接并使他们无法访问服务器,并使我们意识到恶意活动。
    • 尽管自 2011 年以来我们已经看到这种模式在攻击我们,但直到 2013 年才开始出现批次攻击重叠,就好像它们没有意识到彼此一样。在 2013 年之前,很少看到一次超过一批。这对我来说,要么僵尸网络已经分裂——新的僵尸网络正在使用相同的恶意软件进行操作,或者其他僵尸网络可能已经存在了一段时间,并且它们现在最终得到了自 2013 年以来与之前相比相同的数据。还值得注意的是,我发现了可以追溯到 2009 年 2 月的类似攻击的痕迹,但它们具有不同的机器名称模式,机器名称如“37L4247D25-07”和“37L4247D28-05” ”(有关更多信息,请参见原始帖子“A 节:DDoS 模式”)。

通过交叉引用我的现有信息(原始帖子)与我的 IIS 和 http 错误日志、传出带宽日志以及在尝试攻击和蜜罐使用期间观看WireShark ,我能够推断出以下内容:

受感染的计算机被用作僵尸网络主机,并使用复杂的恶意软件、病毒、rootkit、浏览器劫持和数千个已知服务器漏洞(php、phpNuke、phpMyAdmin、phpGallery、wordpress、 IIS 和 asp.net 配置等等)。他们还使用WPAD 本地 DNS 查询扫描网络,并且已经看到他们试图使用 WPAD\Windows 更新进行中间人攻击,以及试图破解网络打印机以危及网络安全。

我相信僵尸网络有一个不断增长的集中存储服务器和用户信息、已知漏洞和更多元数据,可以帮助他们破坏他们攻击的服务器。这些机器独立收集数据,但攻击波澜不惊,并且始终遵循相同的模式。

一旦服务器被入侵并“出租”,任何人都可以猜测登录方使用它的目的,但鉴于我们所看到的情况,“非法”似乎是一个很好的结论(参见原始帖子,“B 节:蜜罐攻击者”了解更多信息)。

最具敌意的IP

自从我最初的蜜罐问世以来,我已经创建并跟踪了几个额外的蜜罐,以寻找更有意义的数据。我已经更新了我的原始帖子(C 部分:IP 地址),并添加了 2 点,我将在此总结:

5.56.133.145176.226.149.255都使用攻击者在创建帐户后立即创建的凭据登录到多个蜜罐。46.161.40.15仅用于登录我的第一个蜜罐,但与我的 DDoS 网络防火墙阻止的至少 2 个其他 IP 地址共享其前 3 个八位字节。

自从我发布这篇文章后,我看到 DDoS 攻击立即减少(好奇)。当我联系我的客户并(让他们)安装\更新他们的安全并下载(重要的)Windows 更新时,攻击似乎越来越少。

我不认为 Makost[dot]net 是这些攻击的幕后黑手。我根本不知道这种僵尸网络的另一个名称,但它遵循与 Makost 众所周知的相同的攻击和使用模式。

有关 Makost[dot]net 的更多信息,请查看此链接:

http://krebsonsecurity.com/tag/makost/

我希望用我找到的其他信息来更新这篇文章。欢迎提问\评论。我原始帖子中的 IP 地址包括僵尸网络攻击者和在蜜罐被“入侵”后登录到我的蜜罐的用户。

检查您的传出带宽日志,可能是攻击者将您的服务器用作某种僵尸网络。这看起来确实很深入,我现在会打电话给幽灵(你有很多信息)。完全禁用 RDP 是一种选择吗?

其它你可能感兴趣的问题
上一篇随机数重置如何允许解密? 下一篇如何限制现有网站 SQL 注入的影响并降低风险?