SambaCry同门木马CowerSnail江湖初现

《2017年第二季度DDoS攻击报告》于今年八月发布。报告显示如今DDoS攻击除了常规金钱目的外，越来越多的被用于政治斗争。

值得一提的是，或许是受今年屡上头条的以WannaCry为代表的勒索软件启发，越来越多DDoS攻击开始以勒索敲诈赎金为目的，这类攻击被称为Ransomm DDoS，或者RDoS。RDoS攻击的发起者大多并非有组织的专业黑客团队，更多的只是略懂皮毛的初学者。

在第二季度，DDoS攻击并无多少技术创新，僵尸网络依然是DDoS攻击的重要工具之一，而本季度SambaCry的爆发让越来越多设备加入了僵尸网络的行列。

在具体工作流程中，CowerSnail于第一阶段会首先提升进程及当前线程的优先级。

然后，它使用StartServiceCtrlDispatcher API来作为控制管理器服务启动主要的C＆C通信线程。

若该线程成功作为服务启动，则通过该服务与C＆C进行进一步通信; 若失败，CowerSnail则会单独运行。CowerSnail也可接收比如来自C＆C主机的变量输入。如果没有外部变量输入，则使用文件自带数据。

在控制服务程序中调用主要的C＆C通信方法（即路由）如下：

流量分析表明，僵尸机器人通过IRC协议与C＆C进行通信。这可从特性命令“‘CHANNEL’ ”及ping交换中可以看出。这一通信通常发生在由IoT设备组成的IRC僵尸网络中。

头两个字节是除‘CHANNEL’命令外数据包的‘pk’签名。DWORD是数据包剩余部分容积。

每个字段都通过Unicode编码，前面为字段长度。状态栏后面的RequestReturn / Request DWORD显示RequestReturn变量数。在这个例子中，有三个变量：'success'，'I'及'result'。这几个字段中每一个又可以包含更多的嵌套变量。CowerSnail发送包含受感染系统信息的14（0xE）不同字符串时会发起SysInfo请求，下面截图为对该请求的响应。变量类型位于名称其后，在变量值之前。

请求包和响应包的结构略有不同。服务器发起的请求包含一个结构类似于Request-> arg-> type - >“Ping / SysInfo / Install”的请求名称，同时还有一个嵌套到arg字段中的额外参数。

⬇ 以下是几个变量类型的示例：

发送有关被感染系统的信息及在C＆C服务器上注册被感染的主机之后，CowerSnail与服务器互相ping，并开始等待命令。

与SambaCry不同，默认情况下，CowerSnail不会下载cryptocurrency Mining软件，而是提供一套标准的后门功能：

SambaCry专为基于* nix的系统而设计。CowerSnail则使用Qt编写，作者似乎并不想牵扯太多WinAPI相关细节，更倾向于可直接移植* nix平台代码。

《2017年第二季度DDoS攻击报告》中的攻击地理位置分布研究部分指出中国依然是DDoS攻击的高发区，在目标数量方面，位居全球第一，美国位居第二，韩国屈居第三。

而在C&C服务器数量上，中国依然位于全球前十的榜单中，这次中国是第七位。

随着时代技术的发展，DDoS攻击的发动成本越来越低，攻击者甚至不需要任何技能及资源设备，只需要很少的金钱，便可发动一次DDoS攻击，尤其是在越来越多攻击者习惯于RDoS之后，这意味着企业会面临比以往要大得多的威胁。