本报告为僵尸网络团伙报告系列的第三篇，将披露“落叶飞花”僵尸网络犯罪团伙的活动情况。我们对该团伙的关注由来已久，2022年1月初，伏影实验室全球威胁狩猎系统捕获到一批Go语言开发的Mediocre^①（又称kaiji）家族木马。该僵尸网络木马大量函数使用汉语拼音方式命名，主要功能为发起DDoS攻击。我们在研究过程中发现，Mediocre Botnet的C&C域名与我们历史记录的多个恶意软件家族有关。由此顺藤摸瓜关联分析，一个长期潜藏在我们身边的僵尸网络犯罪团伙浮出水面。

鉴于该团伙多次使用“luoyefeihua.site”作为其服务器基础设施，伏影实验室将该团伙命名为“落叶飞花”。监测数据显示，该团伙于2018年开始活跃起来，发展早期主要通过QQ，论坛等社交媒介出售DDoS攻击工具的方式获利，后期业务趋于多元化。该团伙运营的恶意软件家族中XorDDoS传播量最广，Nitol和DoFloo下发指令最为频繁，而Mediocre Botnet则体现了该团伙原创能力。本文将从该组织资产信息、攻击活动以及组织溯源等方面展开。

2.1  组织概述

“落叶飞花”组织曾利用各种社交平台不断拓展其攻击面，因此在互联网上留下了线索,根据域名信息，我们对该组织的历史事件进行了深度溯源。

在社交网络，我们能看到因受到欺骗而大倒苦水的帖子。在某游戏辅助论坛中，就有受害者表示自己的网站遭到QQ名为“落叶飞花”的攻击者的入侵，并在联系对方时被试图诱骗安装所谓的封IP软件，实际是远控木马，会连接luoyefeihua.site。而另一例将矛头指向名为落叶飞花的工作室^②。第一事件中出现了Mediocre Botnet的C&C域名，而两例事件中的“落叶飞花”恰对应了“luoyefeihua”拼音，揭示了其中的关联。

图2.1 网络上关于“落叶飞花”相关信息

可见，该组织将社交账号作为黑灰产业务的直接联系方式，侧面说明了其行为早已常态化。不过，考虑到黑灰产圈内的激烈竞争，不排除社交平台上充斥着大量冒充该组织的行为。

而号码导航网曝光的诈骗信息^③则指明该组织的业务之一便是出售DDOS攻击工具，证明了其是一个长期利用网络攻击而获利的团伙。

图2.2 “落叶飞花”售卖相关信息

同时，有人曾对相关信息做过类似溯源,但不排除经营人员已经易手的情况^④。

图2.3 网络上对“落叶飞花”溯源

僵尸网络运营者通过各种渠道扩大知名度已成为一种趋势，这有利于快速变现，例如，KekSec组织就曾通过多种网络社交平台售卖其DDoS工具。当然，也不排除另一种可能，黑客组织成名后形成了聚集效应，出现大量假冒相应组织的现象，这有利于隐匿攻击者真实身份。"落叶飞花"组织同样存在类似的现象，曾经部署过专门售卖DDoS攻击工具的平台网站（现已失联）。下图为号码导航网中曝光该组织的平台和QQ群截图^⑤。

图2.4 “落叶飞花”网站

图2.5 “落叶飞花”QQ群

而使用互联网搜索引擎，同样可以得到与落叶飞花相关的DDoS工具信息。

图2.6 “落叶飞花”浏览器搜索信息

图2.7 “落叶飞花”网络信息

2.2  团伙资产及攻击事件梳理

资产梳理

表2.1  “落叶飞花”团伙资产信息

2.3  攻击指令监控

该团伙所运营僵尸网络所发起的攻击频率并不高，但C&C存活时间较长，以该组织运营的Nitol所配置C&C（luoyefeihua.site:6060）为例，该C&C从2020年2月19日至2022年2月27日一直有指令下发，存活时间达两年之久，在所发起的DDoS攻击活动中攻击方式以HTTP Flood最多，占比达百分之八十三，其次为TCP Flood，占比为百分之十二，其他各种DDoS攻击方式共计百分之五。

图2.8 “落叶飞花”攻击方式占比

该团伙攻击目标以国内为主，欧美地区也有波及，监测数据显示，国内受害者中江苏为重灾区，山东，北京，香港等地也有受到影响。

图2.9 “落叶飞花”攻击目标占比

另外，由于中小型网站安全防护建设薄弱，也自然成为该团伙攻击的首选目标。与此同时，该团伙还习惯于攻陷一些小型网站用来存放恶意文件，使用频度较高的站点整理如下：

表2.2 “落叶飞花”恶意文件存放站点

该团伙习惯于在僵尸网络构建的初期下发大量测试性质的攻击指令，比如其运营的DoFloo木马的控制服务器为193.218.38.152:48080，该C&C早期的解析域名同样为我们熟悉的“luoyefeihua.site”。监测数据显示，该控制端仅在2020年7月10号 21时前后采用UDP Flood的方式下发了针对单一目标的六十余条DDoS攻击指令，随后便匆匆关闭。

图2.10 “落叶飞花”攻击指令

2.4  样本分析

伏影实验室从恶意文件侧出发对"落叶飞花"组织进行更为深入的研究。研究发现，该组织运营着多个平台的恶意软件家族，DDoS攻击与窃密活动并存。所运营恶意软件既有知名度高的僵尸网络家族，也有小众化个新鲜明的攻击工具。特点整理如下：

所运营僵尸网络木马检测难度大

   该组织所运营着的XorDDoS，Dofloo类常见的僵尸网络木马仅对代码中的C&C做了修改，除了从域名关联到木马的归属外，很难从样本侧的其它特征把它们从已知家族中区分出来，但这类木马传播最广，所发起的攻击事件也最多，我们早在2020年有监测到该组织运营的Nitol恶意软件使用“luoyefeihua.site”作为控制服务器发起过DDoS攻击活动，而这一活动一直延续到2022年2月底。

图2.11 “落叶飞花”攻击指令

原创型僵尸网络木马倾向于使用Go语言构建

除了采用已知常见DDoS家族构建自己的攻击网络，该组织还尝试运营原创型DDoS僵尸网络木马，并更倾向于采用Go语言进行编写，比如大范围散播的Mediocre Botnet（aka. Kaiji）及其多个变种。该木马的Go语言版本相对偏老，从侧面反映出攻击者或具备长时间的Go语言开发经验。由于受到黑色产业链的支持，该家族一直有人维护，其变种相对于原版Mediocre而言，在DDoS功能及持久化等方面均有较大变化，其核心模块改动对比如下：

图2.12  Mediocre 核心模块改动对比

辨识度高的C&C命名习惯

该团伙所运营僵尸网络的C&C命名具有相似的风格，多次使用汉语拼音或含义明确的命名，识别度高，比如“luoyefeihua”汉语名“落叶飞花”，再如“linuxddos.net”，即“针对linux平台的ddos”。两者之间的关联如下：

图2.13  “落叶飞花”各C&C间关联

恶意软件中出现大量中文字符

该组织所使用的多个工具包含中文字符，以及汉语拼音。

图2.14  Mediocre Botnet中汉语信息

如在一个名为“Landdos软件破解版”的二进制文件中存在中文界面,会释放gh0st，连接luoyefeihua.site.

图2.15  Landdos界面

另一个名为“IP代理攻击资源存活”的工具具备同样的特征。

图2.16  “落叶飞花”DDoS工具界面

“落叶飞花”僵尸网络犯罪团伙从2018年至今已发展成为一个控制着十余类僵尸网络家族，自研能力较高的团伙。他们不断地开发各式各样的网络攻击工具，既包含了Windows及IoT平台常见的的DDoS家族也有各种窃密软件，除了修改开源代码来构建僵尸网络，该团伙也尝试过采用Go语言来构建全新架构的木马，其运营模式也经历了多次转变，攻击活动愈发频繁。此外，他们对所运营C&C基础设施端口替换的频率极高，对稳定监测受感染机器规模带了一定挑战。该团伙的样本传播量以及攻击活动的频繁程度都令我们感到震惊，已对网络空间造成了极大的威胁，伏影实验室将持续监控该团伙的新动向。

① http://blog.nsfocus.net/mediocre-botnet-ssh/

② https[:]//www.jianshu.com/p/58ff5bf322f1

③ https://www.haomadh.com/qq/18844.html

④ https://www.winak.C&C/thread-7536-1-1.html

⑤ https://www.haomadh.com/qq/18844.html