1. 概況
2023.1.9 日上午,Navicat 官方微信公眾發佈了一篇通告 《緊急 | 關於遭受網路駭客攻擊的聲明》,公開自家中文官網自 1 月 6 日以來被斷斷續續的 DDoS 攻擊至影響正常訪問。
奇安信威脅情報中心殭屍網路威脅監測系統顯示,Navicat 中文官網域名 www.navicat.com.cn 確實自 1.6 日中午以來被多個 Mirai 家族的殭屍網路 C&C 下發了攻擊指令,被攻擊的總體趨勢如下:
可以看到,直到今天早晨,還有一小波攻擊。
2. 攻擊詳情
根據我們的監測,最早的攻擊時間在 2023-01-06 12:19:34 左右,這一波攻擊中 Mirai 殭屍網路的 C&C 共下發 5 條攻擊指令,總攻擊時長為 150s。在當天下午至夜間,攻擊者又打出了 3 波攻擊,並且一波比一波猛烈。攻擊的最高峰發生在 2023.1.6 日 23:35 點至 2023.1.7 日凌晨 02:45 點這 3 個多小時內。最高峰這段時間,攻擊者總共下發了 45 條攻擊指令,打出了 3 波攻擊,平均每波攻擊持續 450s。
根據這次攻擊事件的時間先後順序,我們整理了這幾波攻擊的詳情:
3. 總結
本次 Navicat 中文官網被 DDoS 攻擊事件中,我們看到的都是 Mirai 殭屍網路參與,其中xin.badplayer.net:59666打出了最猛的攻擊。這個 C&C 打出的 DDoS 攻擊還是混合了多種 DDoS 方式的攻擊,通常來說,這種攻擊手法會明顯提高攻擊成功率,也會給防護帶來一定的困難。
三個參與 DDoS 的 C&C 域名中,homehitter.tk、shetoldmeshewas12.uno 經過分析確定屬於同一攻擊團伙,因為這兩個域名都指向同一IP地址 103.136.42.186,並且當前能在伺服器獲取到完全相同的殭屍網路樣本檔案。
而 xin.badplayer.net 暫時無法確認與上述兩個 C&C 歸屬同一組織,原因是樣本特徵與 homehitter.tk,shetoldmeshewas12.uno 下發的有所不同,並且攻擊者下發二進位制木馬時使用的惡意 Shell 檔案手法也略有差異。
根據我們對這三個 C&C 域名的長期監控,推測它們都是第三方 DDoS 攻擊租賃平臺,很可能是有人租賃了它們的 DDoS 攻擊服務對 Navicat 中文官網發起了惡意攻擊,因此這次攻擊事件幕後真正的發起者難以確定。
4. IoCs
C&C:
xin.badplayer.net:59666
shetoldmeshewas12.uno:38241
homehitter.tk:38241
點選閱讀原文至ALPHA 5.0
即刻助力威脅研判
