现在已经过了六个月,自乌克兰战争开始以来,支持俄罗斯和乌克兰的黑客组织,如 KillNet、Anonymous、乌克兰 IT军和俄罗斯特种部队联盟等,已经进行了多次网路攻击。较不知名的团体 NoName057(16)
是支持俄罗斯的一部分,他们针对乌克兰及其周边国家发起了攻击,并偏向支持乌克兰。
NoName057(16)
正在对乌克兰和邻近的支持乌克兰的国家(如乌克兰本身、爱沙尼亚、立陶宛、挪威和波兰)的政府官网、新闻机构、军队、供应商、电信公司、交通管理部门、金融机构等网站进行
DDoS 攻击。该团体的目标完整列表可见于本帖末尾。
进行 DDoS 攻击时,黑客组织利用僵尸网络,通过 C&C伺服器控制这些僵尸,向各个独立的机器发送命令,这些机器实际上就像士兵一样。发现和追踪僵尸网络是一项复杂且耗时的工作。
我们获得了一种名为 Bobik 的恶意程式。 Bobik 并不新奇,自 2020 年以来就已存在,并被称作远程访问木马。然而,最近发生了一些变化。被
Bobik 感染的设备现在是僵尸网络的一部分,并为 NoName057(16) 进行 DDoS攻击。我们可以自信地将这些攻击归因于此团体,因为我们分析了 C&C 伺服器指示被 Bobik 感染的设备所执行的操作,并与该组织在其 Telegram频道上声称负责的攻击进行了比较。
工具组
僵尸网络中使用的机器被名为 Bobik 的恶意程式感染,这是用 .NET 编写的。这种恶意程式过去并未与特定组织相关联,实际上是一种远程访问木马。其
包含键盘纪录、执行和终止进程、收集系统信息、下载/上传档案、以及在被感染设备上进一步放置恶意程式。
攻击链
在自然界中, Bobik 最常被用的引导程式之一是 RedLine Stealer ,这是一种黑客可付费使用的服务以散布其选择的恶意程式。
Bobik 的正常工作流如下图所示。
起初,似乎是某个未知的团体购买了 RedLine Stealer 来部署 Bobik 。最终的 DDoS 模组部署由两个基本阶段组成。第一阶段通过
RedLine Stealer 僵尸执行 Bobik 的更新程式 。在第二阶段中, Bobik 的更新程式 撷取并放置最终的 DDoS 模组(
Bobik 的 RuntimeBroker ),并确保该模组的持久性。
当 RuntimeBroker 被执行时,该模组与 C&C 伺服器联系,下载定义 DDoS攻击目标的配置文件。然后该模组使用设置的线程数开始攻击,通常为五条线程。
以下是 Bobik 部署的详细工作流程。 RedLine Stealer Cryptic (安装程式) 解混淆 Bobik 的更新程式 的
.NET 负载并将其注入到新创建的 .NET ClickOnce 启动工具 (AppLaunch.exe) 的进程中;见上述步骤 1 – 5。
同样的过程也用于执行 Bobik 的 RuntimeBroker (DDoS 模组),因为掉落的 RuntimeBroker 也经过
RedLine Stealer Cryptic 包装和混淆。因此,掉落的 Bobik 的 RuntimeBroker 也解混淆 Bobik 的
RuntimeBroker 的 .NET 负载并将其注入到另一个 AppLaunch 进程中;见步骤 6 – 8。经过以上所有步骤,Bobik 的
DDoS 模组便得以部署、持久存在并准备发动攻击。
C&C 伺服器及通信
自 2022 年 6 月 1 日以来,我们观察到了 Bobik 的网络活动。 Bobik 的僵尸 与位于俄罗斯和罗马尼亚的 C&C伺服器进行通信。这两台伺服器目前已经下线。然而,另一台罗马尼亚伺服器仍然活动并能发送命令到这些僵尸。
C&C 伺服器
自追踪僵尸网络活动以来,我们捕获了三台控制 Bobik 僵尸 的生产 C&C 伺服器和一台开发伺服器。该伺服器运行在 Ubuntu 系统上,使用
Nginx (版本 1.18.0)。
报告这些伺服器均为恶意,有自签名凭证,且之前托管了许多可疑服务。
伺服器 1
最后一个活跃的伺服器是 2.57.122.243,位于罗马尼亚,第一次见到 Bobik 活动是在 2022 年 6 月 13日。我们也有两个针对该恶意伺服器的 DNS 记录:
v9agm8uwtjmz.sytes.net 和 q7zemy6zc7ptaeks.servehttp.com。
伺服器 2
第二台伺服器 2.57.122.82 也在罗马尼亚,但与 Bobik 僵尸 的通信在 2022 年 7 月 14日左右停止。该伺服器仍然活跃。然而,该伺服器回应 502 HTTP 代码(坏网关)。根据 伺服器 1 的发现,该伺服器也使用相同的
v9agm8uwtjmz.sytes.net DNS 记录,该记录在 6 月中旬重新配置为指向 伺服器 1 。
伺服器 3
我们见到的第一台 Bobik 的 C&C 伺服器是 77.232.41.206,位于俄罗斯。该伺服器在 2022 年 6 月 9 日之前开放了端口
80 和 443。目前这台伺服器对 Bobik 僵尸 无法使用,因此事实上已经离线,因为只有一个针对 OpenSSH 的开放端口,而
Bobik 需要端口 80 进行 C&C 通信。
开发伺服器
一台 C&C 伺服器被怀疑为开发伺服器,其地址为 109.107.181.130,监听端口
5001。该伺服器自四月份以来一直活跃,位于俄罗斯,其声誉也很可疑。Avast 在野外未检测到该伺服器的任何痕迹。然而,有一个 Python示例将该伺服器用作测试环境。
C&C 通信
Bobik 僵尸 与 C&C 伺服器之间的通信是使用通过 Nginx 网页伺服器的简单不安全 HTTP 请求和反馈进行的。这些僵尸通过 URL 获取来自
C&C 的相应命令,请见下方图表。
请求
请求的 URL 使用以下模板:
http://[**ip**]/[**request**]/update?**id** =[sha256]&**v** =[version]&**pr**
=[flag]
ip : Bobik 僵尸 硬编码了其中一个 C&C IP 或者某个 DNS 记录,见 C&C 伺服器部分。
request : 定义通信的目的;我们获取到三种类型请求,以 GUID 形式注册。
– notice: 僵尸们报告他们的状态。
– admin: 此请求可打开 Nginx 网页伺服器的管理控制台。
– dropper: 是一个路径,指向一个恶意可执行档,代表 Bobik 的 RuntimeBroker ,后接 exe 文件名称。
这些 GUID 的具体列表列在附录中。
id : 该哈希是从有关受害者机器的 Windows 管理工具 (WMI) 信息(如
Win32_DiskDrive、Win32_Processor、Win32_BaseBoard 等)计算而来。该哈希可以为 Bobik 僵尸
提供一个唯一标识符。
v : Bobik 的版本;Avast 捕获的样本版本范围从8到19。
pr : 是一个标志 (0,1),用以表示与 C&C 的通信是否至少超时过一次。
HTTP 请求的主体包含一个简单的 XML 标签,带有受害者的信息;例如:
<client a0="1" a1="en-US" a2="en-US" a3="14:03:53" a4="600">; 其中
a0: 产品类型(1: 工作站,2: 域控制器,3: 伺服器)a1: CultureInfo.InstalledUICulturea2: CultureInfo.CurrentUICulturea3: DateTime.Nowa4: 从 C&C 伺服器更新 DDoS 目标列表的默认超时
以下是通知 URL 的示例:
http://2.57.122.82/d380f816-7412-400a-9b64-78e35dd51f6e/update?id=AEF97F87751C863548359181B65B60EE86A7D44724040229CDE4622C99AB0B59&v=17&pr=1http://2.57.122.82/d380f816-7412-400a-9b64-78e35dd51f6e/update?id=67F5318073F09F03E762BF727015384589F00282EA26B1798C10581B8DC27F52&v=16&pr=1http://v9agm8uwtjmz.sytes.net/d380f816-7412-400a-9b64-78e35dd51f6e/update?id=B5B72AEBEC4E2E9EE0DAC37AC77EBFB679B6EC6D7EE030062ED9064282F404A7&v=18&pr=1http://q7zemy6zc7ptaeks.servehttp.com/d380f816-7412-400a-9b64-78e35dd51f6e/update?id=BADFD914A37A1FF9D2CBE8C0DBD4C30A9A183E5DF85FCAE4C67851369C2BAF87&v=18&pr=1
响应
HTTP 响应的主体包含一个加密且经过 gzip 压缩的 XML 文件,配置僵尸执行定义 DDoS 攻击。见下方示例:
该僵尸接收的加密数据使用简单算法进行解密,如下所示。完整脚本位于 。
加密的 XML 文件有著基本的结构,如下所示:
XML 属性的多数名称为直观易懂,因此我们只需解释路径和主体属性中的复合括号。该配置经常使用动态生成的片段(定义)来如下表示:
{.,15,20}。定义决定应生成什么样的长随机文本,以及在何处生成。
此定义大量应用在 HTTP 请求的路径或主体中,黑客预期此类请求会对伺服器造成更多的负载。效果就是,僵尸们向伺服器发送无意义的请求。例如,上述图像中第一个
<task>(解密的 XML 配置)使用了此定义:query={.,15,20},这意味著僵尸生成长度为 15 到 20个字符的随机文本的请求,例如针对波兰总统办公室的日历系统。同样,第二个 <task> 对乌克兰的公共汽车线路系统提出了针对密码重置的请求,如此定义
email={.,5,15}%40gmail.com 所示。
在大多数情况下,我们捕获到的定义将数据发送到登录页面、密码回收网站和网站搜索中;如下所示的 XML 配置片段中可见:
登录数据
<taskhost="identity.tele2.lt"
path="/Account/Login"
body="SkipAutoLogin=False&Username={.,15,20}%40gmail.com&Password={.,15,20}&"
/>搜索请求
<taskhost="www.delfi.ee"
path="/otsing?search={.,3,12}&domain=kinoveeb.delfi.ee&categoryId&order=PUBLISH_AT&from=2012-08-22T{d,2,2}%3A{d,2,2}%3A{d,2,2}Z&to=2022-08-22T20%3A59%3A59Z"
/>密码寻回请求
<taskhost="client.smscredit.lv"
path="/password-recovery"
body="utf8=%E2%9C%93&authenticity_token={.87,87}A%3D%3D&user%5Bemail%5D={.,15,20}%40gmail.com&g-recaptcha-
response=03ANYolqu{.,539,539}"
/>
因此,攻击者试图通过这些请求使伺服器过载,因为这些请求需要大量的计算。这些请求需要多次访问伺服器数据库,例如验证电子邮件以重置密码,使用随机数据(定义)尝试登录等。
Bobik 僵尸网络
Avast 的遥测数据无法准确描绘出这个僵尸网络的大小,但我们可以估算 Bobik 在野外的近似规模,见下图。该图显示,根据 Avast 的遥测,试图为
NoName057(16) 执行 DDoS 攻击的僵尸位于何处。Avast 保障这些设备免受 Bobik 及其与 C&C伺服器的连接影响。大多数僵尸位于巴西、印度和东南亚。
根据我们的数据, Bobik 僵尸 的数量约为几百。然而,总数必定更大,考虑到 DDoS 攻击的高度有效性和频繁性。因此,我们估计野外有数千个
_Bobik 僵尸 。
DDoS 目标的选择
我们推测了攻击者确定要 DDoS 攻击的网页伺服器的程序,因为我们已经获取了不成功攻击的配置。
第一步是寻找支持乌克兰或持反俄看法的目标。攻击者会分析目标网站的结构,确定能够导致伺服器过载的网页,特别是需要较高计算时间的请求,如搜索、密码重置、登录等。
第二步是填充 XML 模板,加密它,并将其部署到 C&C 伺服器。攻击者监控目标伺服器的状况,并根据需要修改 XML 配置(修改 URL参数、请求体等),以提升防御成效。配置大约每天更改三次。
如果配置成功且目标伺服器遇到问题,则该配置会固定到伺服器崩溃或伺服器管理员根据 GeoIP 实施抗 DDoS 技术或防火墙规则为止。
如果攻击失败,则选择新目标,然后重复整个选择程序。
目标
在第一阶段,攻击者选择了他们定义反对乌克兰战争的乌克兰新闻伺服器。随后,攻击转向乌克兰城市、地方政府、电力供应和为乌克兰军队提供武器的企业、火车、公共汽车公司和邮政机构的网站。
第二阶段针对那些公开资助或物资支持乌克兰的组织,如乌克兰银行和金融机构,及宣布帮助乌克兰保卫者的当地乌克兰天然气储存运营商。
随著对战争的政治形势变化,DDoS 攻击的目标也随之变化。 Bobik 对 GKN Aerospace 发起 DDoS攻击,该公司是诺斯罗普·格鲁曼公司的供应商,因为美国国防部召开了与美国八大防务承包商(包括诺斯罗普·格鲁曼公司)的会议,以确保满足“”的长期准备。
另一家遭攻击的全球公司是 ,该公司发布了一份文件,评估和探索乌克兰冲突的关键要素。在电信公司方面,我们观察到美国电信公司
Verizon 的攻击,该公司宣布 。我们还可以列举多家公司因支持乌克兰而遭受 Bobik 攻击的例子。以下是一些受到攻击的网站的截图。
其他攻击则更具政治动机,依据特定国家的政府声明。波罗的海国家(立陶宛、拉脱维亚和爱沙尼亚)是该团体在乌克兰外部的主要 DDoS 攻击目标。我们自开始监控
Bobik 起按时间顺序总结了乌克兰以外的目标。
- 2022年6月7日: 对爱沙尼亚中央银行进行了重大DDoS攻击;详见。
- 2022年6月18日: 在立陶宛当局宣布禁止通过其领土向俄罗斯飞地加尔宁格勒运送受后, Bobik 的配置更改为目标立陶宛的交通运输公司、当地的火车和公共汽车运输公司。攻击者也针对立陶宛的金融部门,如 UAB General Financing、Unija Litas 等发起攻击。
- 2022年7月1日: 挪威当局停止了对约 400 名在俄罗斯国有煤矿公司 Arktikugol 工作的工人所运送的货物。[NoName057(16)]的 DDoS 攻击专注于挪威网站作为报复,主要目标是交通公司(Kystverket、Helitrans、Boreal)、挪威邮政局(Posten)和金融机构(Sbanken、Gjensidige)。
- 2022年7月7日: 没有任何具体事件导致该团体特别针对波兰网站。然而,波兰从冲突初期起就支持乌克兰,因此该国的网站成为了目标。对波兰网站的第一次DDoS攻击针对了政府网站,例如波兰网络空间资源中心、波兰第56空军基地、楚霍佐夫的军事征兵中心等。
- 2022年7月9日: Bobik 再次配置为攻击立陶宛网站,重点是能源公司(Ignitis Group、KN)、交通公司(Ingstad & Co、Asstra-Vilnius)和银行(Turto Bankas、Šiaulių Bankas、Swedbank、SEB、Kredito unija Litas)。
- 2022年7月25日: 波兰网站再次成为目标,此次针对波兰政府和机场。 我们观察到了包括波兰国会、总统办公室、国防部、波兹南机场、什切青·戈连尤夫机场、格但斯克机场、克拉科夫机场等在内的 DDoS 配置。
- 2022年8月5日: 波兰地区和区域法院成为目标。
- 2022年8月9日: 当芬兰宣布加入北约的意向后, Bobik 的配置被重新配置为攻击芬兰政府机构,如芬兰议会(Eduskunta)、国务院、芬兰警察等。
- 2022年8月14日: 立陶宛的金融部门(立陶宛支付服务和电子货币、Luminor 网路银行)遭到攻击。
- 2022年8月16日: 对波兰司法系统的第二波攻击开始。我们监控到了包含克拉科夫、奥尔什丁、华沙、波兹南的特定地区法院的配置。
- 2022年8月23日: 因发布反俄信息,爱沙尼亚最大的新闻门户网站 Delfi 遭到 DDoS 攻击。
- 2022年8月26日: 该团体针对另一家爱沙尼亚公司 Tallink Grupp 进行了攻击,该公司提供北波罗的海地区的交通服务,包括航空运输。Tallink 的机场,如卡尔德拉、塔尔图和帕尔努也成为目标。
- 2022年8月27日: 立陶宛的国防部、文化部、教育、科学及体育部以及公共采购办公室被攻击,还有机场和交通公司。
- 2022年8月29日: 在一段时间的休整后,乌克兰的银行遭到该团体的 DDoS 攻击。我们观察到 Acordbank、Trust capital、JSC Poltava-Bank 和 Pravex Bank 遭到攻击。
- 2022年9月1日和2日: 在新学年开始时,乌克兰学校遭到攻击。幸运的是,该团体的 14 个目标都没有被停用。
- 2022年9月3日: 波兰的军火厂(Dezamet、Zakłady Mechaniczne Tarnów)和立陶宛的投资公司(Unija Litas、General Financing Bankas)是在对乌克兰学校机构的失败攻击后,该团体的首批受害者。
- 2022年9月6日: 对乌克兰学校机构(基辅的雅典学校、切尔卡瑟国立大学、剑桥教育中心等)的第二次攻击企图。
下面的图表显示了 Bobik DDoS 攻击的时间线,包括自 6 月初至 7 月中旬的成功和失败攻击,这是由 Avast 遥测捕获的。
最后,我们检查了在三个月的观察期内 XML 配置文件中所有主机。下面的圆形图示显示立陶宛和波兰的网站是 NoName057(16) 团体的主要攻击目标。
通过观察被攻击机构的分布,法院名列第一,其次是物流公司,其后是银行。其他目标包括机场、交通和物流公司、政府和电信公司。完整的目标列表可以在附录中找到。
确认 NoName057(16)
我们试图确定控制 Bobik 僵尸 和 C&C 伺服器的黑客组织。显然,该集团必定是支持俄罗斯的,因此我们寻找最著名的 DDoS 攻击。
在乌克兰战争开始后不久,一个名为 Killnet 的亲俄黑客组织出现,开始对支持乌克兰的公司和政府发起 ,甚至还对 2022 年欧洲歌唱大赛发起了攻击。
Bobik 最初针对 Killnet 标记为“不受欢迎”的网站。Killnet 在其 Telegram 帐号上报告了他们的 DDoS 攻击。起初,看起来
Bobik 所发动的攻击与 Killnet 的活动有些相似,因为被攻击国家的时间线与 XML 配置相近。然而,许多 Bobik 发起的成功 DDoS攻击并未出现在 Killnet 的报告中。
在 2022 年 6 月 21 日,Killnet 团体公开感谢一个名为 NoName057(16) 的团体,在“特殊军事行动”期间的支持:
当我们完成了对 NoName057(16) 的 Telegram 频道的分析时,我们确定 NoName057(16) 是 Bobik 僵尸
进行的 DDoS 攻击的负责人。我们从 NoName057(16) C&C 伺服器获取的所有 XML 配置与该团体在 Telegram频道上发布的内容完全相符。
NoName057(16)
NoName057(16) 是一个鲜为人知的亲俄黑客组织。他们在拥有超过 14K 订阅者的 Telegram 频道上夸耀他们的成功攻击尝试。该团体在
2022 年 6 月 1 日之前就已活跃。他们的 Telegram 频道是在 2022 年 3 月 11 日创建的。我们怀疑他们在 2022 年 6 月 1日之前使用了不同的僵尸网络,或者在六月份更新了用于控制这些僵尸的恶意程式。
NoName057(16) 已经威胁要惩罚那些“撒谎”的“宣传”来源及其支持俄罗斯的新进行战斗的周边国家政府。该团体在八月初因成功对
和
议会进行攻击而被媒体关注。
一个关于 NoName057(16) 的 )
于 2022 年 8 月 17日创建。该页面总结了该团体的主要活动,并将其归类为亲俄黑客组织,该组织宣称对乌克兰、美国和欧洲的网站进行了网络攻击,这些网站属于政府机构、媒体及私营企业。
NoName057(16) 发布了一份宣言,宣称进行网络战争是对针对俄罗斯的公开信息战的报复。
随著该集团活动和媒体形象的提升,确定他们是攻击背后的执行者变得更容易。因此,我们可以清楚地指出 Bobik 是由名为 NoName057(16)
的亲俄黑客组织控制的。
成功率
该团体仅在其 Telegram 频道上报告成功的 DDoS 攻击。尽管报告的成功攻击数量看似庞大,但统计信息反映出相反的情况。
该团体专注于 DDoS 攻击。他们不试图像其他危险组织那样盗取数据或获取系统访问权。问题在于他们是否拥有更深的知识、力量和基础设施来做更多的事情。执行
DDoS 攻击是简单的,不需要深厚的技术知识。此外, Bobik 的实现仅发送简单的 HTTP 请求。
我们为期三个月的观察结果显示,该团体的攻击成功率约为 40% 。我们通过比较 Avast 捕获的 XML 配置与该团体在 Telegram频道上发布的成果。此外,有特定的目标,约有 ~20% 的 Telegram 发文中 NoName057(16)
声称成功攻击的网站,未能在其配置文件中匹配。例如, NoName057(16) 声称对立陶宛机场网站发动了攻击的责任,该声明发布于 2022 年 6 月
25 日:
然而,我们在配置文件中并未找到该攻击的记录。无法使用所有的僵尸进行攻击的可能性不大。加上这一故障, NoName057(16)
宣称这些网站尚在连续十四天的攻击之中。这需要一个庞大的僵尸网络,尤其考虑到该团体在同一时期内进行了其他攻击,且这些网站依然保持离线状态。从我们看到的情况来看,
NoName057(16) 拥有一个庞大的僵尸网络的可能性不大。此外,他们的大多数 DDoS 攻击持续几小时,最多也就几天。
影响与防护
NoName057(16) 发动的 DDoS攻击的威力可以说是值得商榷的。根据配置历史记录,在一次攻击中,他们能有效地针对约十三个网址进行攻击,包括子域名。此外,一个 XML配置通常会将特定的域名/目标设置为一组子域,因此 Bobik
能够在一个配置内有效地攻击五个不同的域。因此,基于容量和效率的理由,他们不能专注于更多的域名。
大多数成功的攻击导致伺服器停机几个小时或几天。为了应对这些攻击,网站运营商往往会封锁来自国外的请求。这对于当地的伺服器/域名(如当地公交/火车票务网站、当地机构/公司等)来说是一个典型且合适的解决方案。因此,这些域上
DDoS 攻击造成的影响对当地和较小公司的伺服器影响很小。一些受影响的伺服器运营商或所有者已经注销了他们的域名,但这是极端情况下的做法。
一些重要和大型域名机构,如银行、政府和跨国公司,其伺服器对于这些攻击的抗性要强得多。经过一次成功的攻击后,我们注意到,较大型公司部署了企业解决方案,如
Cloudflare 或 BitNinja,它们能够过滤进入的流量并在大多数情况识别 DDoS攻击。另一方面,大多数大型跨国公司预期流量较重,并将其网页伺服器运行在云端,配备抗 DDoS 的解决方案,使其更能抵御攻击。例如,该团体未能使丹麦银行
Danske Bank(在 2022 年 6 月 19 日至 21 日进行攻击)和立陶宛银行 SEB(在 2022 年 7 月 12 至 13 日及 7 月
20 至 21 日进行攻击)的网站停机。
DDoS攻击的成功与受害者的选择有关。受“成功”攻击影响的公司,其网站较简单,包括“关于我们”、“我们的使命”和“联系我们”等页面。这些公司更不会将其网站作为业务的主要部分。因此,这些伺服器通常不会设计为承受重负载,也不会采用抗
DDoS 技术,这使得它们成为非常简单的目标。
该团体对波兹南-拉维察机场的 DDoS 攻击使该网站下线 16 分钟。 NoName057(16) 基于下图所示的 <tasks> 配置了
Bobik 僵尸 :
他们试图通过对伺服器发送搜索请求、提交表单和通过 WordPress API 获取数据的请求来过载伺服器。当伺服器开始返回 502 错误 时,
NoName057(16) 不忘在他们的 Telegram 频道上炫耀。他们还提供了一个连结到 ,以证明他们的“报复”。
然而,遭受影响的伺服器如果实施了一些抗 DDoS 技术,往往在几分钟内就能恢复运作,因为这些算法会逐渐学习识别特定类型的攻击。下方的 报告显示波兹南-拉维察机场的 DDoS 攻击影响不大,因为该网站仅下线了 16 分钟。
在 2022 年 6 月 23 日, NoName057(16) 在 Telegram上报告,立陶宛当局解除对俄罗斯货物通向加尔宁格勒的禁令。该团体将禁令的解除归因于他们的网络攻击对立陶宛基础设施的努力,但这在更大程度上是值得商榷的。然而,对立陶宛伺服器的攻击仍然持续。
性能
该僵尸网络于 2022 年 9 月 1 日 18:00 UTC 进入闲置状态,并持续闲置了 12 小时。该僵尸网络于 2022 年 9 月 2 日
04:00 UTC 重新启动。发送给这些僵尸的 XML 文件包含空 <tasks>,如这个示例: <config><tasks delay="0"
thread_count="-6"/></config>
对于僵尸网络性能的下降可能是其潜在解释。该团体在 2022 年 9 月 1 日和 2 日仅在 Telegram频道上发布了两个通用帖子,而不是夸耀成功攻击,这是我们首次表明僵尸网络可能不太好运行的指标。
第一个帖子是关于新学年的开始以及知识日。该团体还提到他们对其国家和年轻一代安全的网络前线进行捍卫。第二个帖子有关“信息武器和 DDoS坦克”,这些正在悄然进行非常艰难和重要的工作。
事实上, NoName057(16) 每天在 XML配置中变化十次目标,这是异常的。我们监控了这几天的目标,却没有一项攻击成功。因此,目前可见的是,僵尸网络面临一些困难。
该集团攻击的大部分网站都已实施抗 DDoS 保护。这种减速暗示该僵尸网络相对静态,无法进行新的变化,例如招募新的僵尸或动态改变僵尸的
IP。静态的僵尸网络对抗 DDoS 保护是个优势,因为恶意流量可以轻松被识别。
NoName057(16) 从九月以来继续攻击其他较简单的目标。唯有未来才能揭示 Bobik 僵尸网络的成败。然而,自九月初以来,这些攻击的成功率仅约为
25%。
结论
我们针对自 2022 年 6 月以来,针对乌克兰及其周边地区网站进行的 DDoS 攻击所使用的恶意程式进行了调查和分析。我们确认这种恶意程式是名为
Bobik 的 .NET 变体,并包含一个 DDoS 模组,通过一个僵尸网络服务 RedLine Stealer 进行扩散。
这项调查的第一个技术部分揭示了 C&C 伺服器和 Bobik 僵尸 使用的 HTTP 通信协定。 我们还成功地解密了 HTTP协定及其参数。这使我们能够监控 C&C 伺服器,并收集关于僵尸网络架构和定义 DDoS 目标的 XML 配置信息。
第二个目的是确定攻击背后的坏人。我们识别出一个名为 NoName057(16) 的亲俄黑客组织,这些使用者或可能甚至是 Bobik 的创作者,根据
XML 配置和该团体在 Telegram 频道上发布的内容。
NoName057(16) 专门关注于 DDoS攻击,针对支持乌克兰或抱有“反俄”态度的公司和组织。他们不试图像其他危险组织那样窃取数据或获取系统访问权。因此,我们可以宣称他们的活动唯一的伤害在于可能使公司的业务在网站关闭时受到损失,但已经下线的网站幸运地很快恢复。与此相比,他们的活动更多仅仅是扰人而非危险。
我们发现 NoName057(16) 报告的成功攻击仅占其所有攻击尝试的约
~40%。攻击的成功取决于目标基础设施的质量。证据显示,受到良好保护和设计的伺服器能够抵挡该团体的 DDoS 攻击。
该团体主要针对伺服器/域名以回击对俄罗斯的网络攻击和制裁。所有成功的攻击,甚至未必是该团体所负责的(但他们声称是),都会在他们的 Telegram频道上发布。
如果您担心您的设备可能受到 Bobik 感染并支持 NoName057(16) 的行动,我们强烈建议您安装安全软体,如 ,以检测、封锁并移除 Bobik
。
IOCs
完整的 IoC 列表可在
