Navicat中文官网被DDoS攻击事件分析

1. 概况

2023.1.9 日上午，Navicat 官方微信公众发布了一篇通告《紧急 | 关于遭受网络黑客攻击的声明》，公开自家中文官网自 1 月 6 日以来被断断续续的 DDoS 攻击至影响正常访问。

奇安信威胁情报中心僵尸网络威胁监测系统显示，Navicat 中文官网域名www.navicat.com.cn 确实自 1.6 日中午以来被多个 Mirai 家族的僵尸网络 C&C 下发了攻击指令，被攻击的总体趋势如下：

可以看到，直到今天早晨，还有一小波攻击。

2. 攻击详情

根据我们的监测，最早的攻击时间在北京时间 2023-01-06 12:19:34 左右，这一波攻击中 Mirai 僵尸网络的 C&C 共下发 5 条攻击指令，总攻击时长为 150s。在当天下午至夜间，攻击者又打出了 3 波攻击，并且一波比一波猛烈。攻击的最高峰发生在 2023.1.6 日 23:35 点至 2023.1.7 日凌晨 02:45 点这 3 个多小时内。最高峰这段时间，攻击者总共下发了 45 条攻击指令，打出了 3 波攻击，平均每波攻击持续 450s。

根据这次攻击事件的时间先后顺序，我们整理了这几波攻击的详情：

3. 总结

本次 Navicat 中文官网被 DDoS 攻击事件中，我们看到的都是 Mirai 僵尸网络参与，其中xin.badplayer.net:59666 打出了最猛的攻击。这个 C&C 打出的 DDoS 攻击还是混合了多种 DDoS 方式的攻击，通常来说，这种攻击手法会明显提高攻击成功率，也会给防护带来一定的困难。

三个参与 DDoS 的 C&C 域名中，homehitter.tk、shetoldmeshewas12.uno 经过分析确定属于同一攻击团伙，因为这两个域名都指向同一IP地址 103.136.42.186，并且当前能在服务器获取到完全相同的僵尸网络样本文件。

而 xin.badplayer.net 暂时无法确认与上述两个 C&C 归属同一组织，原因是样本特征与 homehitter.tk，shetoldmeshewas12.uno 下发的有所不同，并且攻击者下发二进制木马时使用的恶意 Shell 文件手法也略有差异。

根据我们对这三个 C&C 域名的长期监控，推测它们都是第三方 DDoS 攻击租赁平台，很可能是有人租赁了它们的 DDoS 攻击服务对 Navicat 中文官网发起了恶意攻击，因此这次攻击事件幕后真正的发起者难以确定。

4. IoCs

C&C:

xin.badplayer.net:59666

shetoldmeshewas12.uno:38241

homehitter.tk:38241

声明：本文来自奇安信威胁情报中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。