1. 概况

2023.1.9 日上午,Navicat 官方微信公众发布了一篇通告《紧急 | 关于遭受网络黑客攻击的声明》,公开自家中文官网自 1 月 6 日以来被断断续续的 DDoS 攻击至影响正常访问。

奇安信威胁情报中心僵尸网络威胁监测系统显示,Navicat 中文官网域名www.navicat.com.cn 确实自 1.6 日中午以来被多个 Mirai 家族的僵尸网络 C&C 下发了攻击指令,被攻击的总体趋势如下:

可以看到,直到今天早晨,还有一小波攻击。

2. 攻击详情

根据我们的监测,最早的攻击时间在北京时间 2023-01-06 12:19:34 左右,这一波攻击中 Mirai 僵尸网络的 C&C 共下发 5 条攻击指令,总攻击时长为 150s。在当天下午至夜间,攻击者又打出了 3 波攻击,并且一波比一波猛烈。攻击的最高峰发生在 2023.1.6 日 23:35 点至 2023.1.7 日凌晨 02:45 点这 3 个多小时内。最高峰这段时间,攻击者总共下发了 45 条攻击指令,打出了 3 波攻击,平均每波攻击持续 450s。

根据这次攻击事件的时间先后顺序,我们整理了这几波攻击的详情:

3. 总结

本次 Navicat 中文官网被 DDoS 攻击事件中,我们看到的都是 Mirai 僵尸网络参与,其中xin.badplayer.net:59666 打出了最猛的攻击。这个 C&C 打出的 DDoS 攻击还是混合了多种 DDoS 方式的攻击,通常来说,这种攻击手法会明显提高攻击成功率,也会给防护带来一定的困难。

三个参与 DDoS 的 C&C 域名中,homehitter.tk、shetoldmeshewas12.uno 经过分析确定属于同一攻击团伙,因为这两个域名都指向同一IP地址 103.136.42.186,并且当前能在服务器获取到完全相同的僵尸网络样本文件。

而 xin.badplayer.net 暂时无法确认与上述两个 C&C 归属同一组织,原因是样本特征与 homehitter.tk,shetoldmeshewas12.uno 下发的有所不同,并且攻击者下发二进制木马时使用的恶意 Shell 文件手法也略有差异。

根据我们对这三个 C&C 域名的长期监控,推测它们都是第三方 DDoS 攻击租赁平台,很可能是有人租赁了它们的 DDoS 攻击服务对 Navicat 中文官网发起了恶意攻击,因此这次攻击事件幕后真正的发起者难以确定。

4. IoCs

C&C:

xin.badplayer.net:59666

shetoldmeshewas12.uno:38241

homehitter.tk:38241

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。