年会插曲:一个扫描3306端口传播的Botnet分析
字数 1612 2025-08-05 08:16:26

基于3306端口传播的Dofloo变种Botnet分析报告

0x00 事件概述

本文档分析了一个通过扫描MySQL默认端口(3306)传播的僵尸网络(Botnet),该僵尸网络被确认为Dofloo家族的变种。攻击者通过扫描互联网上的3306端口,利用弱密码或其他漏洞入侵系统后植入恶意软件,构建僵尸网络用于发动DDoS攻击。

0x01 攻击流程分析

攻击链还原

  1. 扫描阶段:攻击者使用位于郑州的服务器(122.114.248.240)对互联网进行大规模扫描,主要针对3306端口(MySQL),同时也扫描80端口(HTTP)和60001端口

  2. 载荷投递:扫描成功后,攻击者通过HTTP服务器(122.114.248.240:8879)分发恶意软件

  3. 恶意软件安装:受害者系统下载并执行恶意载荷,完成感染

  4. C&C通信:恶意软件连接命令控制服务器(gj.07360736.cn:2658)接收指令

  5. 攻击执行:僵尸网络根据C&C指令发动各种DDoS攻击

恶意软件特征

  • 文件列表

    • 攻击者HTTP服务器上存放了6个文件,包括Windows可执行文件和Linux ELF文件
    • 其中"linux2.6"文件为x86架构的ELF可执行文件

  • 持久化机制

    • Windows系统:克隆自身到C:\WINDOWS\system32\xxxx.exe(xxxx为随机6位字母)
    • 具备典型的Botnet功能:CC攻击、SYN Flood等多种DDoS攻击能力

0x02 技术细节分析

样本分析

  • 家族归属:代码结构与Dofloo家族高度相似,确认为其变种
  • C&C通信
    • 硬编码地址:gj.07360736.cn:2658
    • IP解析:122.114.248.240:2568
  • 反病毒检测
    McAfee: Linux/Dofloo.a
AegisLab: Backdoor.Linux.Dofloo!c
Symantec: Linux.Dofloo
ESET-NOD32: Linux/Dofloo.A
Kaspersky: Backdoor.Linux.Dofloo.b
NANO-Antivirus: Trojan.Unix.Dofloo.efsxke
Tencent: Trojan.Linux.Dofloo.ba
Avira: LINUX/Dofloo.AA
Antiy-AVL: Trojan[Backdoor]/Linux.Dofloo.b
ZoneAlarm: Backdoor.Linux.Dofloo.b

基础设施分析

  • 分发服务器

    • IP: 122.114.248.240
    • 端口: 8879 (HTTP文件分发)
    • 位置: 郑州,隶属于zzidc(郑州景安网络科技股份有限公司)

  • 扫描活动

    • 活跃时间:从发现当月12号开始
    • 扫描峰值:约70台机器访问分发服务器
    • 扫描目标:主要针对3306端口(MySQL)

  • 域名信息

    • C&C域名: gj.07360736.cn
    • 历史解析记录:
      • 122.114.213.63
      • 122.114.248.240

0x03 防御建议

检测指标(IOCs)

  • 恶意IP:

    • 122.114.248.240
    • 122.114.213.63

  • 恶意域名:

    • gj.07360736.cn

  • 端口:

    • 8879 (HTTP文件分发)
    • 2658/2568 (C&C通信)
    • 3306 (扫描目标)

防护措施

  1. MySQL安全加固

    • 修改默认3306端口
    • 设置强密码策略
    • 限制远程访问IP
    • 定期更新MySQL版本

  2. 网络监控

    • 监控异常3306端口扫描活动
    • 检测对已知恶意IP/域名的外联请求

  3. 终端防护

    • 部署能够检测Dofloo家族变种的杀毒软件
    • 监控系统目录下的可疑可执行文件创建

  4. 应急响应

    • 发现感染后立即隔离主机
    • 检查系统进程和网络连接
    • 分析并清除持久化机制

0x04 扩展分析方向

  1. 样本深入分析

    • 逆向分析ELF文件,提取完整C&C协议
    • 分析Windows版本样本的差异

  2. 攻击溯源

    • 关联分析同一IP的其他恶意活动
    • 追踪域名注册信息(尽管Whois信息可能无用)

  3. 僵尸网络规模评估

    • 通过PDNS数据估算感染规模
    • 监控C&C服务器活动

  4. 漏洞利用分析

    • 确定攻击者如何通过3306端口入侵
    • 分析是否利用了特定MySQL漏洞

0x05 总结

本报告分析了一个通过3306端口传播的Dofloo变种僵尸网络,揭示了其攻击链、技术特征和基础设施信息。该僵尸网络主要针对MySQL服务,利用弱密码或其他漏洞入侵系统,构建僵尸网络发动DDoS攻击。防御者应重点关注MySQL服务的安全加固,并监控相关IOCs以检测和防御此类威胁。

基于3306端口传播的Dofloo变种Botnet分析报告 0x00 事件概述 本文档分析了一个通过扫描MySQL默认端口(3306)传播的僵尸网络(Botnet),该僵尸网络被确认为Dofloo家族的变种。攻击者通过扫描互联网上的3306端口,利用弱密码或其他漏洞入侵系统后植入恶意软件,构建僵尸网络用于发动DDoS攻击。 0x01 攻击流程分析 攻击链还原 扫描阶段 :攻击者使用位于郑州的服务器(122.114.248.240)对互联网进行大规模扫描,主要针对3306端口(MySQL),同时也扫描80端口(HTTP)和60001端口 载荷投递 :扫描成功后,攻击者通过HTTP服务器(122.114.248.240:8879)分发恶意软件 恶意软件安装 :受害者系统下载并执行恶意载荷,完成感染 C&C通信 :恶意软件连接命令控制服务器(gj.07360736.cn:2658)接收指令 攻击执行 :僵尸网络根据C&C指令发动各种DDoS攻击 恶意软件特征 文件列表 : 攻击者HTTP服务器上存放了6个文件,包括Windows可执行文件和Linux ELF文件 其中"linux2.6"文件为x86架构的ELF可执行文件 持久化机制 : Windows系统:克隆自身到 C:\WINDOWS\system32\xxxx.exe (xxxx为随机6位字母) 具备典型的Botnet功能:CC攻击、SYN Flood等多种DDoS攻击能力 0x02 技术细节分析 样本分析 家族归属 :代码结构与Dofloo家族高度相似,确认为其变种 C&C通信 : 硬编码地址:gj.07360736.cn:2658 IP解析:122.114.248.240:2568 反病毒检测 : 基础设施分析 分发服务器 : IP: 122.114.248.240 端口: 8879 (HTTP文件分发) 位置: 郑州,隶属于zzidc(郑州景安网络科技股份有限公司) 扫描活动 : 活跃时间:从发现当月12号开始 扫描峰值:约70台机器访问分发服务器 扫描目标:主要针对3306端口(MySQL) 域名信息 : C&C域名: gj.07360736.cn 历史解析记录: 122.114.213.63 122.114.248.240 0x03 防御建议 检测指标(IOCs) 恶意IP : 122.114.248.240 122.114.213.63 恶意域名 : gj.07360736.cn 端口 : 8879 (HTTP文件分发) 2658/2568 (C&C通信) 3306 (扫描目标) 防护措施 MySQL安全加固 : 修改默认3306端口 设置强密码策略 限制远程访问IP 定期更新MySQL版本 网络监控 : 监控异常3306端口扫描活动 检测对已知恶意IP/域名的外联请求 终端防护 : 部署能够检测Dofloo家族变种的杀毒软件 监控系统目录下的可疑可执行文件创建 应急响应 : 发现感染后立即隔离主机 检查系统进程和网络连接 分析并清除持久化机制 0x04 扩展分析方向 样本深入分析 : 逆向分析ELF文件,提取完整C&C协议 分析Windows版本样本的差异 攻击溯源 : 关联分析同一IP的其他恶意活动 追踪域名注册信息(尽管Whois信息可能无用) 僵尸网络规模评估 : 通过PDNS数据估算感染规模 监控C&C服务器活动 漏洞利用分析 : 确定攻击者如何通过3306端口入侵 分析是否利用了特定MySQL漏洞 0x05 总结 本报告分析了一个通过3306端口传播的Dofloo变种僵尸网络,揭示了其攻击链、技术特征和基础设施信息。该僵尸网络主要针对MySQL服务,利用弱密码或其他漏洞入侵系统,构建僵尸网络发动DDoS攻击。防御者应重点关注MySQL服务的安全加固,并监控相关IOCs以检测和防御此类威胁。