警惕某黑产团伙针对 Windows/Linux 双平台的批量抓鸡行动，已有上千台服务器失陷

感谢腾讯御见威胁情报中心来稿！

原文链接：https://mp.weixin.qq.com/s/zFW8Niekso7uVCyOjoMn2w

一、概述

近期腾讯安全威胁情报中心发现一黑产团伙通过多种自动化扫描爆破工具攻击Windows/Linux服务器，攻击者使用的爆破工具包括ssh/mysql/rdp等多种爆破工具，爆破成功后会在windows/Linux平台植入后门。腾讯安全威胁情报中心在攻击者的HFS服务器上发现3个攻击载荷，包括2个针对Linux系统的DDoS僵尸网络木马billgates及一个针对windows系统的后门窃密木马。

攻击载荷服务器

该黑产团伙的主要特点:

1.针对windows/Linux双平台的攻击载荷都是通过生成器生成，可配置上线地址，自动化、专业化程度高。
2.入侵手段主要是通过多种自动化扫描爆破工具包进行扫描爆破，包括3306/1433端口(mysql/sqlServer默认端口)、3389端口（远程桌面）、SSH爆破等等。
3.通过一键免杀工具进行免杀，通过代理频繁更换服务器IP躲避追踪，频繁更换HFS服务器上的文件，使点击量重新计数等方式躲避追踪查杀。
4.攻击载荷针对Linux系统的是DDoS僵尸网络木马billgates，针对windows系统的为后门窃密类木马。
该黑产团伙从四月份开始活跃，目前已有上千台主机失陷，失陷主机分布在全国各地，排名前三的省份为浙江、江苏、广东。

受该团伙攻击失陷的服务器分布

二、黑客攻击工具包分析

腾讯安全威胁情报中心的检测数据显示，攻击载荷同一台机器上的IP地址每天都会修改更换一个。该黑产团伙为了躲避追踪，用了代理工具频繁修改IP地址，所使用的域名xnsj.f3322.net近期被解析指向的多个IP，实际上也是同一台机器设备:

我们在这台HFS服务器上发现多个黑客工具包，包括3389抓鸡工具包、 红尘网安1433工具包，Linux爆破工具、3306抓鸡、SA弱口令、1433扫描工具、 一键免杀工具、 Linux/win平台生成器、DDoS压力测试工具等等。
部分黑客工具包及说明:

黑客工具包对应的功能

3389抓鸡工具包为远程桌面爆破工具，内置了爆破密码字典:

红尘网安1433工具包及3306工具包主要是针对mysql及sqlsver进行弱密码爆破:

DDoS压力测试工具

三、Billgates僵尸网络木马分析

该团伙针对攻陷的Linux服务器会安装Billgate僵尸网络木马，Billgates僵尸网络最早出现在2014年，是最为活跃的僵尸网络家族之一，曾多次被安全厂商披露，在本案例中Billgates bot通过生成器生成，可配置ip/域名及端口。

Billgates bot生成器

持久化配置
Billgates Bot在多个目录创建了自启动脚本及文件。包括在自启动目录init.d创建自启动脚本。
DbSecuritySpt及在rc.d多个目录创建了自启动项

创建的自启动项:

DDoS攻击
在函数MainProcess中完成主要的DDoS攻击功能，包括Tcp/Udp/Syn洪水攻击，DNS反射攻击等。
完整的攻击类型如下:

MainProcess函数DDoS功能：

四、针对Windows平台的后门分析

该黑产团伙投放的Windows平台后门木马，也是通过生成器生成，可配置C2上线地址，监听端口，及标识码。

此外还可以选择是否加UPX壳及是否添加到开机自启动(默认添加)。

有后门类木马的几乎所有功能，包括键盘记录嗅探，文件下载、上传、执行，执行CMD命令等等。

目前其C2地址为116.207.21.252|xnsj.f3322.net:1999
功能函数:

五、安全建议

1.针对Linux平台的排查：可通过排除相关启动项查看是否中招，如果有包含
/etc/rc.d/init.d/DbSecuritySpt等自启动项则表示已经中招，建议网管及时清除。

2.推荐企业用户使用腾讯T-Sec终端安全管理系统（御点）查杀该团伙安装的Windows系统后门木马；

3.建议网管使用高强度密码，并经常更换，避免遭遇爆破入侵。推荐企业用户部署适当的腾讯安全完整解决方案提升系统安全性。

IOCs:
MD5：
488d0393825b9d4aeebd30e236020d78
e133a6078a38e983c1a7a3fb14670c63
fe642d12ef1f884395a3bfd501949ebf
b21f8aa2d18cb64b779161d475b68209
7145110d75992a0f0ab2332293fb73ab
b4caaea9a5621a595d051da143b40015
935c5a016862605b9d62564c3acdb2aa
544344fb1410184109f85e6343bf0e15
4363993917d8386de4a4d07b4a1f70de
49ec29cab36ccf726c8c25f7aca6875c
be89d31b7d876bc6058bd8e64f88c9e1

IP
116.207.21.252
111.176.102.38
116.207.16.45
111.176.101.97

域名:
xnsj.f3322.net