几个月前，我们发表了一篇关于 亲俄骇客组织 NoName057(16) 的部落格文章。该组织使用一个由名为 Bobik 的恶意软体感染设备组成的僵尸网络执行 DDoS 攻击。NoName057(16) 使用 Bobik 僵尸网络针对特定目标的成功率约为 40。然而，当僵尸网络被摧毁后，这个成功率迅速下降，这一情况在该组织的 Telegram 频道上于 9 月初报导过。

在夏季分析 Bobik 恶意软体时，我们发现一个名为 Command and ControlCampC的伺服器，它并不隶属于 Bobik 僵尸网络，但使用于 DDoS 攻击。该伺服器的配置包括了与 Bobik 僵尸网络类似的 DDoS 攻击目标。新的 CampC 伺服器指挥用 Python 编写的客户端，我们在 2022 年 8 月 1 日检测到了一个命令。随后，在 2022 年 9 月 15 日，NoName057(16) 宣布启动 DDosia 项目，这与我们在他们的 Telegram 通知之前所找到的样本相符。该组织透过提供奖励来吸引人们参加其行动，并以加密货币支付奖金给表现最佳的人员。

2022 年 12 月 5 日，我们发现的原始 DDosia CampC 伺服器被摧毁。然而，该组织仍然持续发布关于他们的攻击消息，并推广该项目，这表明新 CampC 伺服器已经设立。

通过启动 DDosia 项目，NoName057(16) 尝试创建一个新的平行僵尸网络以便于 DDoS 攻击。该组织公开宣布了 DDosia 项目，而 Bobik 僵尸网络的部署则相对秘密。NoName(057)16 通过提供现金奖励来吸引项目成员，奖励给予执行最成功 DDoS 攻击的成员。在 Bobik 僵尸网络被摧毁后，我们通过上述 CampC 伺服器监控新成立的 DDosia 僵尸网络。

DDosia 客户端是一个由 NoName057(16) 创建和控制的 Python 脚本。DDosia 工具仅通过一个半封闭的 Telegram 群组提供给经过验证/邀请的用户，与以前在受害者设备上未经其知情安装的 Bobik 恶意软体不同。根据我们追踪的原始 DDosia 项目，其成功率低于 Bobik 僵尸网络，但在正确的目标下仍有潜在的麻烦。

项目理念

维持一个由非自愿客户端组成的僵尸网络是昂贵的。之前研究的证据显示，NoName057(16) 并不拥有可以用作分发频道的僵尸网络。该组织则使用 Bobik 僵尸网络，该网络实际上是租用的一个 RedLine Stealer bot 的子网络，即以僵尸网络即服务botnetasaservice形式租用的。显然，该组织有足够的资金租用该僵尸网络，如今也能够支付 DDosia 项目中表现最好的成员。

DDosia 项目由一个封闭的志愿者社区组成，所谓的“英雄”。项目成员通过 Telegram 机器人注册。注册后，该机器人会发送一个下载 URL，里面包含 DDosia 可执行文件及一个包含识别注册用户的唯一 ID 的文本文档。

DDosia 项目成员可以选择使用其 ID 编号注册加密钱包。如果某位成员执行了足够数量的攻击，他们可以获得最高 80000 俄罗斯卢布的奖励，并以以太坊、比特币和泰达币等加密货币支付。成员还可以在 DDosia Telegram 频道中检查他们的整体统计信息。

简而言之，NoName057(16) 正在建立一个封闭的用户社区，使他们的计算时间可用于 DDoS 攻击。根据该项目的封闭 Telegram 频道，目前大约有 1000 名“英雄”。

技术细节

要成为 DDosia 成员，您必须通过专门的 DDosia 项目 Telegram 频道中的 @DDosiabot 进行注册。注册后，成员会收到一个 DDosiazip 压缩包，其中包括一个可执行文件。NoName057(16) 强烈建议使用 VPN 客户端，并连接到位于俄罗斯或白俄罗斯以外的伺服器，因为来自这两个国家的流量通常会在该组织针对的国家被阻止。

这个 ZIP 压缩包的结构如下：

DDosiazip

DDosia 应用

DDosia 应用的工作流程非常简单，并不包含任何有趣的技术或方法。因此，我们仅总结其实现的基本要点。

一开始，DDosia 会读取存储注册用户 ClientId 的 clientidtxt 文件。第一次 CampC 通信发送包含 NoName057(16) 管理的 DDoS 目标的列表。DDosia 创建工作线程，用以执行 DDoS 攻击。线程数量对应于逻辑核心数的五倍。与 Bobik 的攻击类似，DDoS 攻击可以通过 HTTP 执行，也可以通过 TCP 协议在更低层进行；HttpTarget 和 TcpTarget 类是为这些攻击而设计的。

每个 DDosia 机器人的统计信息每分钟都会回传到 CampC 伺服器。这些信息由 ClientId 标识，数据中包含被攻击的域名列表以及成功和尝试的攻击数量。成功的攻击意味著 DDosia 向定义的伺服器发送请求并获得其响应。与 CampC 伺服器的通信是未加密且未经身份认证的，因此任何人都可以轻易伪造统计数据，从而获得每日奖金。

CampC 伺服器

我们发现一个 DDosia CampC 伺服器位于俄罗斯 109107181130。我们的 Nmap 扫描发现了三个开放端口及以下服务：

这个端口由 Nginx 1231 网页伺服器控制。有一个名为 DosiaBotFront 的网页，其设计如 图 1 所示。这是用于 DDosia 机器人配置的管理控制台。

图 1 Dosia CampC 伺服器的管理介面

下一个开放端口是 5001，被分类为 commplexlink。一些其他扫描识别出该端口上存在 HTTP 服务。Nmap 扫描检测到 CampC 通信在 HTTPS 层上是未加密的。

其他端口

重新执行端口扫描后，新结果揭示了一千个开放端口。攻击者想要使端口扫描变得更加困难并耗时。

CampC 伺服器讨论

主 DDosia CampC 伺服器 (109107181130) 于 2022 年 12 月 5 日上午 9 点 UTC 被摧毁。然而，该组织仍然在其 Telegram 频道上活跃发帖，因此该组织必定拥有另一个僵尸网络。

CampC 通信

DDosia 应用有两个硬编码的 URL，用于下载和上传数据到 CampC 伺服器。第一个用于下载将要攻击的域名列表目标，第二个用于统计报告。

获取目标 hxxp//109107181[]1305001/client/gettargets

发送统计信息 hxxp//109107181[]1305001/setattackcount

目标列表以未压缩且未加密的 JSON 文件发送。它包含两个项目：targets 和 randoms。前者包含约 20 个定义 DDoS 目标的属性；每个目标通过几个属性描述：id、type、method、host、path、body 等。后者则描述随机字符串的形状，包括字段：digit、upper、lower 和最小/最大整数值；请参见 图 2。

DDosia 在运行时为每次攻击生成随机值。原因很简单；攻击者希望随机化 HTTP 请求，使每个 HTTP 请求都是独一无二的，以提高成功率。randoms 在目标定义的路径或主体中替换占位符，其位置则使用这一定义 {数字} 来标识，如 图 2 所示。

图 2 从 CampC 伺服器下载的 JSON 文件

检测

DDosia 项目并未被视为常见恶意软体，因为人们是自愿执行该应用程序的。尽管如此，我们仍然积极检测 DDosia 应用，但检测数量接近于零。

我们的遥测显示，与 DDosia 相关的检测仅有寥寥几个。然而，我们注册了许多例外，这些例外是用户添加到他们的 Avast 防病毒中的。最明显的例外来自俄罗斯，包括圣彼得堡、莫斯科、塞韦尔斯克、秋明、普多米亚吉和罗斯托夫。其他国家如加拿大多伦多和德国柏林的用户也观察到将该项目添加到他们的例外中。

表现

一位 DDosia “英雄” 可以使用四个核心和 20 个线程每分钟生成约 1800 个请求。当然，请求生成的速度取决于攻击者的网路连接质量。该项目目前大约有 1000 名成员。假设至少一半的用户是活跃的，那么向定义目标的请求总量可达 900000 req/min。这可能足以使那些不预期会有大量网路流量的网路服务瘫痪。

Dosia 目标

DDosia 项目的目标与 Bobik 的目标 非常相似。该组织专注于私营部门和公共部门，如法院、银行、教育机构、公共媒体、政府和交通服务机场、铁路。例如，Supsk 的地区法院波兰、West Kredit拉脱维亚、切尔卡玛的国立大学乌克兰、马尔雷赫爱沙尼亚或中央财政和合同机构拉脱维亚都是目标。

DDosia 攻击的国家分布也是一个方面。虽然 NoName057(16) 是为了支持对乌克兰的“特别军事行动”而成立，但受到最严重攻击的域名主要来自波兰、拉脱维亚、立陶宛，其次是乌克兰。

Dosia 成功率

我们自 2022 年 8 月 1 日以来持续监测 DDosia 项目的配置，直到 2022 年 12 月 5 日原始伺服器被摧毁。在四个观察月内，我们捕获了超过 2200 个 DDoS 目标。NoName057(16) 的 Telegram 频道声称成功发动了约 390 次攻击，因此成功率约为 17，当时大约有 1000 名 DDosia “英雄”。

图 3 的绿线显示了观察期间成功攻击的趋势。然而，需要指出的是，更高的成功攻击率受到 Bobik 僵尸网络活动的影响，因为该僵尸网络在平行执行 DDoS 攻击。因此，DDosia 的实际成功率应从 2022 年 9 月 7 日之后计算，当时 Bobik 僵尸网络被摧毁。因此，如果考虑到 Bobik 僵尸网络的拆除，DDosia 的统计数据显示有 1400 个 DDoS 目标和 190 次成功攻击。因此，DDosia 项目的当前成功率约为 13。

该图还显示了 2022 年 9 月 2 日的峰值。NoName057(16) 在学年的开始时积极攻击乌克兰的学校和教育机构。与此 similar，这些与之前的 Bobik 伺服器上观察到的目标相同。受到攻击的机构包括雅典学校、乌克兰医学杂志、学校管理和学习系统、剑桥第一教育中心及 Libera 学校等。值得庆幸的是，2022 年 9 月 2 日这些目标都没有被摧毁，尽管有大量的配置更改和受攻击的域名。

图 3 DDosia 僵尸网络统计

在 11 月，成功率开始显著上升。受攻击的域名数量与成功攻击的数量之间存在相关性。受攻击的域名蓝线和成功的攻击绿线趋势彼此靠近，这可能预示著上升趋势。

这一上升趋势可能的解释是，攻击的选择目标比之前的周期更加同质化，因为该组织攻击的目标更加多样化。相较之下，11 月的选择目标列表主要包括同一输入域下的目标。因此，如果对主域的任何子域的攻击是成功的，那么大多数子域也可能被摧毁，因为它们使用类似的平台、安全性和网络。该组织在其 Telegram 频道上夸耀他们的“成功”攻击。这一策略是提高 NoName057(16) 威望的合理步骤。在 2022 年 9 月 5 日 Bobik 伺服器下线后，该组织主要发布一些奇怪的熊和卡通图片，而不是炫耀成功的攻击。

DDosia 对波兰政府的攻击

对波兰政府域名的攻击是新选择策略的典型例子。攻击者自 2022 年 11 月 5 日起专注于 govpl 域的大多数子域，请参见所选子域列表：

大多数 srgovpl 网站伺服器运行在相同的平台上Nginx v1161。如果攻击者选择在同一平台上运行的子域，那么他们有很高的机会使所选伺服器瘫痪。更重要的是，大多数子域网页仅包含资讯字符，并未提供任何对政府至关重要的在线服务。因此，这些攻击在网络攻击方面几乎没有价值，除了在该组织的 Telegram 频道上宣传。

另一个重要点是对中央经济活动登记和信息 (aplikacjaceidggovpl) 的攻击。该网站预期有更高的页面载入量，因为它为企业提供电子服务。因此，该网站对 DDosia 攻击的抵抗力更强。

一个没有任何价值的攻击的例子是对波兰的城市 Gmina Brodnica 的攻击。他们的网站不包含反俄和反俄言论的内容；然而，尽管 NoName057(16) 宣称会攻击包含反俄内容的网站，但该网站仍然遭到攻击；请参见下方的 Telegram 帖子。因此，很明显，NoName057(16) 的目标并不是对乌克兰战争产生实际影响，而是利用这场冲突在社区中建立声誉。

DDosia 配置

我们的遥测从 2022 年 8 月 1 日到 12 月 5 日记录了 DDosia 的配置。首先，图 3 上述显示，配置平均每天改变四次；请参见红线。其次，平均每天攻击的域名数量为十七。

奖励

NoName057(16) 为表现最突出的成员保证加密货币奖励。如果参加者在注册时链接了他们的加密钱包，NoName057(16) 发布了一些消息，宣布最活跃的成员，正如以下帖子所示。

获奖者的奖金在数千卢布数百美元之内。我们无法验证这些加密货币是否真的发送给了所谓的客户，从而证实该组织拥有足够的资金。

个别参与者定期向 CampC 伺服器发送他们的进展和成就的统计信息，但这些信息以纯文本的形式发送，并未受到任何保护。统计信息的内容是简单的 JSON 文件，其中包含 ClientId 和被攻击伺服器的 ID。因此，任何人都可以伪造他们自己的统计数据，因为每个客户端可以从 clientidtxt 获取他们的 ClientId。下面的简单 Python 脚本可以伪造这些统计数据，任何人都可以在某一天成为最活跃的客户端。该脚本还包含可以从 CampC 伺服器以纯文本形式下载的目标 ID 列表。

结论

根据我们 先前研究 的目标，即监控 NoName057(16) 的活动，我们捕获了针对乌克兰及周边国家进行 DDoS 攻击的另一种方法。

NoName057(16) 改变了他们的理念，与之前使用的 Bobik 恶意软体相比，建立了一个新的僵尸网络，该僵尸网络使用的是公开可用的工具。该工具是一个名为 DDosia 的简单 Python 脚本。详细分析确认 DDosia 仅仅是一个 DDoS 工具，并不具有任何后门功能。

DDosia 攻击的成功率约为所有攻击尝试的 13。DDosia 通过 Telegram 的一个封闭社区提供，成员数约为 1000。如果该社区正在上升，我们预期成功率会更高。因此，成功的攻击取决于 NoName057(16) 对志愿者的激励。目前，1000 名已注册的英雄可能实际意味著 500 个活跃的 DDosia 实例，因此预期会有高网络活动负载的伺服器对攻击的抵抗力更强。

被选为 DDoS 攻击目标的对象与我们先前研究中的相同。简而言之，NoName057(16) 专注于支持乌克兰或“反俄”的公司和组织。在 11 月初，攻击目标的选择发生了变化，转而专注于先前成功攻击的域名的子域，这提高了成功率。

DDoS 攻击的新特点是可以获得奖励。该组织收集有关执行攻击和成功尝试的统计信息。随后，表现最佳的“英雄”会以加密货币支付。然而，这些统计数据很容易被操控。

NoName057(16) 建立了 DDosia 项目，以便在之前的僵尸网络被摧毁后能进行更多的 DDoS 攻击。相较于先前的 Bobik 僵尸网络，这些攻击的威力小得多。因此，时间将考验 DDosia 的成功程度。

他们的 DDoS 攻击基本上是不成熟的，没有造成大影响，也不以造成重大损害为目标。他们希望在媒体上引起注意，类似于 Killnet 群体。尽管如此，NoName057(16) 的活动仍然更多是个麻烦而非威胁。

参考文献

标签：僵尸网络，DDoS

分享XFacebook