Navicat中文官网被DDoS攻击事件分析
发布日期:2023-01-15      作者:       来源:奇安信      分享:

Navicat中文官网被DDoS攻击事件分析

编者荐语:

此次攻击事件主要是 Mirai 僵尸网络参与,很可能是有人租赁了DDoS 攻击租赁平台的攻击服务实施恶意攻击。

1. 概况

2023.1.9 日上午,Navicat 官方微信公众发布了一篇通告 《紧急 | 关于遭受网络黑客攻击的声明》,公开自家中文官网自 1 月 6 日以来被断断续续的 DDoS 攻击至影响正常访问。

image.png

奇安信威胁情报中心僵尸网络威胁监测系统显示,Navicat 中文官网域名 www.navicat.com.cn 确实自 1.6 日中午以来被多个 Mirai 家族的僵尸网络 C&C 下发了攻击指令,被攻击的总体趋势如下:

image.png

可以看到,直到今天早晨,还有一小波攻击。


2. 攻击详情

根据我们的监测,最早的攻击时间在北京时间 2023-01-06 12:19:34 左右,这一波攻击中 Mirai 僵尸网络的 C&C 共下发 5 条攻击指令,总攻击时长为 150s。在当天下午至夜间,攻击者又打出了 3 波攻击,并且一波比一波猛烈。攻击的最高峰发生在 2023.1.6 日 23:35 点至 2023.1.7 日凌晨 02:45 点这 3 个多小时内。最高峰这段时间,攻击者总共下发了 45 条攻击指令,打出了 3 波攻击,平均每波攻击持续 450s。
根据这次攻击事件的时间先后顺序,我们整理了这几波攻击的详情:


image.png

3. 总结

本次 Navicat 中文官网被 DDoS 攻击事件中,我们看到的都是 Mirai 僵尸网络参与,其中 xin.badplayer.net:59666 打出了最猛的攻击。这个 C&C 打出的 DDoS 攻击还是混合了多种 DDoS 方式的攻击,通常来说,这种攻击手法会明显提高攻击成功率,也会给防护带来一定的困难。

三个参与 DDoS 的 C&C 域名中,homehitter.tk、shetoldmeshewas12.uno 经过分析确定属于同一攻击团伙,因为这两个域名都指向同一IP地址 103.136.42.186,并且当前能在服务器获取到完全相同的僵尸网络样本文件。

而 xin.badplayer.net 暂时无法确认与上述两个 C&C 归属同一组织,原因是样本特征与 homehitter.tk,shetoldmeshewas12.uno 下发的有所不同,并且攻击者下发二进制木马时使用的恶意 Shell 文件手法也略有差异。
根据我们对这三个 C&C 域名的长期监控,推测它们都是第三方 DDoS 攻击租赁平台,很可能是有人租赁了它们的 DDoS 攻击服务对 Navicat 中文官网发起了恶意攻击,因此这次攻击事件幕后真正的发起者难以确定。


4. IoCs

C&C:

xin.badplayer.net:59666

shetoldmeshewas12.uno:38241

homehitter.tk:38241


友情链接:

返回软协官网首页

通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室     邮政编码:100080

电话:010-62565314 刘莉    京ICP证16064523号-2    版权所有:北京软件和信息服务业协会

技术支持:中科服    内容支持:鑫网安

你知道你的Internet Explorer是过时了吗?

为了得到我们网站最好的体验效果,我们建议您升级到最新版本的Internet Explorer或选择另一个web浏览器.一个列表最流行的web浏览器在下面可以找到.