阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标

发表于:2015-05-20 23:00:00 来源: 黑客与极客 阅读数(0人)

阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标

 

最新进展:


根据我们的监测,截至发稿时,Lizard Squad组织正在利用僵尸网络攻击如下目标:

1、http://www.twit**.tv/   (192.16.**.***)
2、https://www.voxili**.com/  (109.163.***.**)

阿里安全研究实验室在2015年5月19日捕捉到全球臭名昭著的“蜥蜴黑客组织(Lizard Squad)”最新的木马蠕虫,该黑客组织可谓与另一黑客组织“匿名者黑客组织”(Anonymous)齐名,擅长动用僵尸网络进行分布式拒绝服务(DDOS攻击),去年的Sony娱乐和Xbox Live就遭受该组织的DDOS攻击,这里我们将对最新的木马蠕虫样本进行深入剖析。


阿里安全研究实验室在2015年4月份第一次在某智能设备里面捕捉到该木马样本时,该僵尸网络的C&C服务器节点已经失效,样本信息如下:

阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标

 

在这个样本挖掘出两个种马服务器和C&C服务器,从而推测以上样本应该是第二次变种样本,这两个IP是176.10.XXX.XXX和69.163.XXX.XXX,VT对这两个IP的评估结果如下:


176.10.XXX.XXX:


阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标

 

69.163.XXX.XXX


阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标

 

看上面两张图里面的检测时间是在2014年10月份和12月份,这两个时间段的前后该组织攻击了Sony PlayStation网络和Xbox在线网络。

木马特点

我们着重讲述一下我们最新捕捉到的样本和其功能,该木马有如下特点:


1.弱口令扫描telnet服务


阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标 阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标

 

2. 弱口令登录到受害者机器后从木马服务器下载脚本bin2.sh到本地运行,然后通过tftp把各种硬件体系的木马下载下来执行,总有一款适合你!


阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标

 

3. 利用busybox的tftp客户端或者wget下载相应的木马蠕虫软件并运行。


4. 连接C&C服务器接受指令,如果下发的是scanner on的指令,它将执行弱口令扫描并感染其它主机:


阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标 阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标 阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标

 

5. 停掉telnetd服务和sshd服务,目的是为了防止反复感染同一台机器。


阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标

 

6. 连接C&C服务器接受指令时间频率是5分钟,如果收到攻击某个ip和端号还是时长,则对该IP进行ddos攻击:


阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标

 

7. 该僵尸木马共享同一套源代码,分布支持的平台有arm/mips/ppc/mips64/i586/i686/mipsel/mips32/sparc/superh


8. 该僵尸木马为了提升兼容性,不会依赖任何动态库,调用api都是以syscall的方式来进行调用,如下图是i686和arm下面的样本中syscall的调用方式,以函数open为例:


阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标 阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标 阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标

 

9.该木马会攻击任何具有开放telnet服务且有弱口令的智能设备或系统中。


到发稿为止只有部分杀软能够查杀,很多主流杀毒软件没有覆盖:


阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标

 

最后,从Lizard Squad最新一条twitter内容可知,Lizard Squad正在计划干下一票,这个变种也应该是最近才上线的,我们也将通过它们的僵尸网络的通信协议来监控谁将是下一个受害者,敬请期待。


阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标 阿里安全:已捕捉到黑客组织“蜥蜴(Lizard Squad)”最新木马及攻击目标

 

Lizard Squad的C&C服务器上常常也会放上他们引用的twitter页面。


FreeBuf百科:黑客组织“蜥蜴(Lizard Squad)”

简介

黑客组织Lizard Squad以发动大规模的DDoS攻击而成名,号称“DDoS之王”。他们曾经攻陷过世界上多个大型游戏网络,比如Xbox Live、索尼Playstation Network、Jagex、暴雪、英雄联盟等等。Lizard所使用的攻击软件名为Lizard Stresser。Lizard Stresser,是一款强大的DDoS工具,它主要利用被感染的家用路由器的网络带宽流量发起对目标的攻击。

战绩榜

1. 2014年8月18日,游戏“英雄联盟”服务器被该组织DDOS攻击打挂,该组织第一次“崭露头角”‍‍
‍‍2. 2014年11月23日,该组织承认DDOS攻击了游戏“命运”的服务器
‍‍‍‍3. 2014年8月24日/12月8日,Sony的PlayStation网络遭受DDOS攻击,该组织表示为此负责
‍‍‍‍4. 2014年12月1日,Xbox在线被该组织攻击
‍‍‍‍5. 2014年12月2日,该组织黑掉了machinima.com网站
‍‍‍‍6. 2014年12月22日,该组织DDOS攻击了朝鲜互联网
‍‍‍‍7. 2014年圣诞攻击,针对Xbox在线和Sony PlayStation网络
‍‍‍‍8. 2014年12月26日,声称攻击了3000多洋葱路由匿名网络的中继节点,不过Tor负责人说言过其实
‍‍‍‍9. 2014年8月24,航班炸弹威胁,FBI介入调查
‍‍‍‍10. 2015年1月26日,DDOS攻击facebook和instagram
‍‍‍‍11. 2015年1月27日,黑掉美国著名歌手Taylor Swift的Twitter和Instagram帐号,宣称要拿她的裸照换比特币,Taylor Swift说你随便玩,我没有祼照在这里面

相关新闻

大家都在学

课程详情

网络攻防工具

课程详情

恶意代码原理

课程详情

网络攻击与对抗