Navicat 中文官网被 DDoS 攻击事件分析

admin 2023年1月11日17:59:53安全新闻评论12 views1094字阅读3分38秒阅读模式

1. 概况

2023.1.9 日上午,Navicat 官方微信公众发布了一篇通告 《紧急 | 关于遭受网络黑客攻击的声明》,公开自家中文官网自 1 月 6 日以来被断断续续的 DDoS 攻击至影响正常访问。
Navicat 中文官网被 DDoS 攻击事件分析


奇安信威胁情报中心僵尸网络威胁监测系统显示,Navicat 中文官网域名 www.navicat.com.cn 确实自 1.6 日中午以来被多个 Mirai 家族的僵尸网络 C&C 下发了攻击指令,被攻击的总体趋势如下:

Navicat 中文官网被 DDoS 攻击事件分析


可以看到,直到今天早晨,还有一小波攻击。


2. 攻击详情

根据我们的监测,最早的攻击时间在北京时间 2023-01-06 12:19:34 左右,这一波攻击中 Mirai 僵尸网络的 C&C 共下发 5 条攻击指令,总攻击时长为 150s。在当天下午至夜间,攻击者又打出了 3 波攻击,并且一波比一波猛烈。攻击的最高峰发生在 2023.1.6 日 23:35 点至 2023.1.7 日凌晨 02:45 点这 3 个多小时内。最高峰这段时间,攻击者总共下发了 45 条攻击指令,打出了 3 波攻击,平均每波攻击持续 450s。
根据这次攻击事件的时间先后顺序,我们整理了这几波攻击的详情:


Navicat 中文官网被 DDoS 攻击事件分析


3. 总结

本次 Navicat 中文官网被 DDoS 攻击事件中,我们看到的都是 Mirai 僵尸网络参与,其中 xin.badplayer.net:59666 打出了最猛的攻击。这个 C&C 打出的 DDoS 攻击还是混合了多种 DDoS 方式的攻击,通常来说,这种攻击手法会明显提高攻击成功率,也会给防护带来一定的困难。

三个参与 DDoS 的 C&C 域名中,homehitter.tk、shetoldmeshewas12.uno 经过分析确定属于同一攻击团伙,因为这两个域名都指向同一IP地址 103.136.42.186,并且当前能在服务器获取到完全相同的僵尸网络样本文件。

而 xin.badplayer.net 暂时无法确认与上述两个 C&C 归属同一组织,原因是样本特征与 homehitter.tk,shetoldmeshewas12.uno 下发的有所不同,并且攻击者下发二进制木马时使用的恶意 Shell 文件手法也略有差异。
根据我们对这三个 C&C 域名的长期监控,推测它们都是第三方 DDoS 攻击租赁平台,很可能是有人租赁了它们的 DDoS 攻击服务对 Navicat 中文官网发起了恶意攻击,因此这次攻击事件幕后真正的发起者难以确定。


4. IoCs

C&C:

xin.badplayer.net:59666

shetoldmeshewas12.uno:38241

homehitter.tk:38241

Navicat 中文官网被 DDoS 攻击事件分析

点击阅读原文ALPHA 5.0

即刻助力威胁研判

原文始发于微信公众号(奇安信威胁情报中心):Navicat 中文官网被 DDoS 攻击事件分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月11日17:59:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Navicat 中文官网被 DDoS 攻击事件分析 https://cn-sec.com/archives/1508845.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: