CNCERT：关于BlackMoon变种HTTPBot僵尸网络的风险提示

近期，CNCERT监测发现一种名为HTTPBot的DDoS僵尸网络。该僵尸网络控制者通过钓鱼等方式诱导Windows主机用户运行伪装成记事本等程序的木马文件实现劫持Windows主机的目的，通过C&C控制服务器向被劫持主机发送控制指令，对目标服务器的HTTP业务端口开展攻击。该僵尸网络控制方式、攻击模式与BlackMoon僵尸网络利用的类似，可认为是BlackMoon僵尸网络的变种。

一、木马文件分析

区别于传统的僵尸网络利用IoT设备漏洞攻击IoT设备，HTTPBot僵尸网络木马，攻击对象为Windows主机，通过对其样本文件进行逆向分析，发现该木马基于Go语言开发，主要特征如下：

1、硬编码的形式保存C&C服务器的域名，域名为jjj.jjycc.cc，目前解析为：104.233.144.23

2、隐蔽运行

3、写入注册表实现自启动

将自身路径写入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run启动项键值实现开机自动运行。

4、精准操控

僵尸网络中每个被控节点，将会主动向C&C服务器控制节点发送字符串”OK”进行在线认证，等待C&C服务器下发的控制指令。

5、感染方式

通过对木马文件逆向分析，未发现有0DAY或者Nday漏洞利用相关的代码，没有驱动提权代码，未获取RING0控制权限，为一般权限的木马程序。将木马文件与VirusTotal网站恶意样本库进行比对，得到结果如下：

据VirusTotal统计，该木马样本通常以Windows系统自带的记事本程序notepad.exe相似的文件名（如notepadl.exe、notepar.exe）这类文件名进行传播，伪装成Windows系统自带的记事本程序，结合逆向分析结果，可推定该木马文件的感染方式为诱导用户执行的钓鱼传播。

二、攻击模式分析

HTTPBot内置7种针对HTTP协议开展DDoS攻击的模式：

1、HttpAttack模式：可根据攻击目标端口配置,动态选择明文TCP或者加密的TLS连接。并且实现了自动重试、UserAgent和表头的随机化以及动态速率控制。

2、HttpAutoAttack模式：相较于 HttpAttack模式，引入了自动化的 Cookie 处理流程（解析服务端的响应返回的guardret参数，构造一个新的Cookie），结合状态码识别和重试机制（如果状态码为429或者405，则通过休眠绕过频率限制）以及随机化UA头部，实现更准确地模拟合法会话，避免触发而激活目标服务器的Cookie参数核验保护规则。

3、HttpsFpDIAttack模式：基于资源消耗最大化的策略进行攻击。一是将TCP Keep-Alive时间设置为30分钟，即使没有文件操作，也长时间占用目标服务器TCP连接资源。二是强制使用HTTP/2模式，其多路复用功能强制目标服务器传输大体积响应文件，提高目标服务器负荷。