Siren僵尸网络进行DoS攻击的10种方式

云安全服务提供商Zscaler ThreatLabZ的研究人员上周发现了一个名为Siren 的新DoS僵尸家族,它可以使用10种不同的DoS方式来进行攻击。

根据研究员Rajdeepsinh Dodia12月21日发布的博客文章,Siren僵尸程序能够按照命令和控制(C&C)服务器的指示,在任何Web服务器位置执行HTTP、HTTPS和UDP洪流瘫痪攻击(Flooding)。

网络通信

Sieren通过发送系统信息开始与服务器通信,数据以“&”符号分隔,包括:用户名、设备名称、操作系统版本、处理器结构和上述数据的MD5值等。

Siren僵尸网络进行DoS攻击的10种方式

作为响应,C&C服务器会随后发送用于执行DoS攻击的目标URL,数据以“&”符号分隔。

Siren僵尸网络进行DoS攻击的10种方式

10种DoS攻击方式

恶意软件能够使用不同的方法对目标URL执行DoS攻击。这里分析的Siren变种有10种支持洪流瘫痪攻击的方法,它能够根据从C&C服务器收到的数据选择具体的方法。以下是这些方法中使用的参数:

Siren僵尸网络进行DoS攻击的10种方式

方法1:

该恶意软件首先使用InternetGetCookieEx来获取目标URL的cookie,并在生成洪流瘫痪请求时在HTTP标头(header)中使用它们。基于协议(HTTP/HTTPS)和方法(POST/GET),它开始向目标URL发送多个请求。

Siren僵尸网络进行DoS攻击的10种方式

用于生成标头部分的代码

Siren僵尸网络进行DoS攻击的10种方式

HTTP洪流瘫痪代码

Siren僵尸网络进行DoS攻击的10种方式

HTTPS洪流瘫痪代码

方法2:

在使用C&C服务器提供的值执行休眠命令之前,该恶意软件会创建50个套接字并发送50个HTTP请求。它将重复此过程,直到taskID处于活跃状态。

方法3:

此方法类似于方法2,但每50次请求后Siren僵尸不会休眠。

方法4:

在此方法中,Siren僵尸将使用C&C服务器在向目标URL发送的洪流瘫痪请求中提供的数据。

方法5:

在这种方法中,Siren僵尸还会在目标URL洪流瘫痪期间接受响应,之后它将休眠100秒。然后它再次开始向目标URL发送洪流瘫痪请求。

方法6:

当C&C服务器指定套接字和端口数时,将调用此方法。这种情况下,Siren僵尸不会发送HTTP或HTTPS洪流瘫痪请求。相反,它会为目标URL打开多个套接字,试图耗尽Web服务器端资源。它会反复关闭并打开目标URL的其他套接字,直到taskID保持活跃状态。

Siren僵尸网络进行DoS攻击的10种方式

方法7:

此方法与方法6相同,并且似乎是为以后更新做准备的占位符(placeholder)。

方法8:

在这种方法中,Siren僵尸将从C&C服务器接收诸如随机数据大小、套接字数量和端口信息之类的参数。此外,它将根据指定的大小生成随机数据、打开多个套接字,并使用随机生成的数据洪流瘫痪目标URL。

方法9:

在此方法中,C&C服务器将提供随机数据和端口信息的大小。Siren僵尸将生成随机数据并在指定端口上洪流瘫痪目标URL。

方法10:

此方法适用于基于UDP的洪流瘫痪攻击。Siren僵尸使用UDP协议发送随机数据,并为这些数据包设置220到225之间的TTL(生存时间)值。

Siren僵尸网络进行DoS攻击的10种方式

一旦C&C服务器停止发送附加命令,Siren僵尸将停止执行洪流瘫痪攻击请求。

Siren僵尸附加命令

除了与DoS攻击相关的方法之外,Siren僵尸还有三个附加命令:

“dlexec”——从C&C服务器提供的URL中下载和执行有效负载;

“update”——下载更新版本并执行,并使用cmd进程删除自身。

“Uninstal”——使用cmd进程卸载自身。

妥协指标(IOCs)

MD5

320A600147693B3D135ED453FAC42E82

URL

cx93835[.]tmweb.ru/rrljw91zqd.exe

burgerkingfanbase[.]net/great.php

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133773.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code