爆破流DDOS团伙ChinaZ的流程记录

By admin

2019-01-08 17:28:22

浏览量23448

已赞0

说到ChinaZ,首先声明一下这个不是站长之家的名称,鉴于我对于内部技术的敬畏,可以很确定这是一个有名的黑产团伙,一个热衷于利用老漏洞和密码爆破从而投放Xorddos和BillGates的黑产团伙。

爆破流DDOS团伙ChinaZ的流程记录

爆破流DDOS团伙ChinaZ的流程记录

相关链接:

http://blog.malwaremustdie.org/2015/01/mmd-0030-2015-new-elf-malware-on.html

http://blog.malwaremustdie.org/2015/08/mmd-0039-2015-chinaz-made-new-malware.html

下面为Intezer的蜜罐抓取的一系列爆破攻击,通过SSHTelnet暴力破解进入后,首先关闭防火墙,然后下载payload,设置权限,然后运行payload.

爆破流DDOS团伙ChinaZ的流程记录

下载的脚本所处为下面的HFS面板

爆破流DDOS团伙ChinaZ的流程记录

上图面板中的linux样本为billgates变种

爆破流DDOS团伙ChinaZ的流程记录

PE则为Ghost变种,可见C2一致

爆破流DDOS团伙ChinaZ的流程记录

通过查询这个域名的历史解析IP,能发现一些被这个组织日过的网站痕迹,比如

爆破流DDOS团伙ChinaZ的流程记录

爆破流DDOS团伙ChinaZ的流程记录

一天后,面板又上传了新的样本,为DDosClient家族

爆破流DDOS团伙ChinaZ的流程记录

RAR里是大灰狼

爆破流DDOS团伙ChinaZ的流程记录

爆破流DDOS团伙ChinaZ的流程记录

爆破流DDOS团伙ChinaZ的流程记录

通过刚刚VT搜到的被动解析IP,可以发现其他的HFS面板

爆破流DDOS团伙ChinaZ的流程记录

端口扫描工具

爆破流DDOS团伙ChinaZ的流程记录

通过shodan 找ChinaZ的hfs服务器,规则可以参考

爆破流DDOS团伙ChinaZ的流程记录

原文intezer还把Nitol远控归为一个组织,然后针对MrBlack,Chinaz,Nitol进行了强关联,然后还很牵扯的扯上了我大铁虎组织,有兴趣可以看原文后面的代码比对。

原话:

ChinaZ正在托管MrBlack的Linux和Windows版本的实例,Windows版本已经显示了与旧版ServStart变体的代码重用连接。此外,我们发现更新版本的ServStart与MrBlack Linux实例一起托管。因此,MrBlack和ServStart演员之间可能存在关系,这表明ChinaZ和Nitol家族之间存在潜在的关系。

此外,ChinaZ Windows组件已被发现感染了Nitol组件,这表明这些参与者可能已经在已经感染过Nitol的服务器中运行。这强制了这两个威胁组之间可能存在更深层关系的假设。ChinaZ一直是一个相对活跃的威胁行动者群体,即使从早期阶段对其整体基础设施进行了很多改变,但其复杂程度正在慢慢发展。为了反映本博客中讨论的最相关的关系,我们决定使用以下图表来呈现它们:

爆破流DDOS团伙ChinaZ的流程记录

原文链接

https://www.intezer.com/blog-chinaz-relations/

发表评论
拖动滑块验证
»
请先 注册/登录 后参与评论

已有0 发布

默认   热门   正序   倒序
    查看更多评论
    已有0次打赏