antiy

antiy
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
安天发现新型DDoS攻击木马“魔鼬” antiylab认证厂商2017-08-04共483934人围观 ，发现 6 个不明物体 网络安全资讯
一、概述
2017年7月30日，安天安全研究与应急处理中心（Antiy CERT）的工程师发现一种具备拒绝服务（DDoS）攻击能力的新型木马。经初步分析，安天CERT工程师认为该木马属于一个新家族，并将其命名为“魔鼬”。通过关联查询安天对于DDoS攻击的历史监测数据，发现本次事件中受攻击的域名同时也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻击。

二、受攻击目标
通过样本分析，发现被攻击域名或IP多为操作系统下载站点，受攻击的域名/IP和对应的网站名如下表所示。

受攻击的域名/IP对应的网站

通过电信云堤的协助分析，我们在部分网络出口提取攻击数据，部分域名访问量抽样统计如下：

对www.swerrt.cn域名的访问量

对win7.bdxsa.com域名的访问量

在运营商的大部分骨干网设备上都可以观察到攻击流量和C2心跳，具体感染数量有待进一步核查。

三、事件样本分析
样本的编译时间为2017-07-01 21:22:54（时间戳 5957A22E），根据前面的攻击事件发现时间，初步认为该时间是未经过篡改的，可见该木马家族的出现时间仅有短短的1个月。

样本时间戳

样本的运行流程和主要行为如下：

1. 创建互斥量保证唯一实例运行。
创建互斥量

2. 加载资源数据，读取指定偏移的内容作为C2地址（www.linux288.com）。
加载资源数据
3. 连接C2服务器，发送本机系统信息（包括主机名、CPU、内存、系统版本等），接收C2返回的攻击目标列表。
接受服务器返回数据
4. 在分析中我们发现，C2返回的攻击目标列表数据每隔一段时间会发生变化，从而控制受害主机向不同的IP或域名发动攻击。
服务器返回不同的攻击目标列表
5. 接收到数据后，样本按指定的格式解析攻击列表数据（link_list和task_list）。
解析数据包内容

6. 样本根据task_list地址和配置，创建大量线程，向目标地址发起DDoS攻击。
发起DDoS攻击

四、相关事件关联
对本次事件中的被攻击域名进行关联查询，发现部分域名在相近时间也遭受了其他组织的DDoS攻击，详细信息如下：

关联查询结果

部分域名受攻击的数据如下所示：

域名win7.hangzhouhongcaib.cn的攻击数据

域名www.xiaomaxitong.cn的攻击数据

域名x1.xy1758.com的攻击数据

五、总结
经过分析和关联查询，发现在相近时间内多个组织对相同目标发起DDoS攻击。从目前掌握的资料来看，本次DDoS事件的攻击强度足以瘫痪一般的网站，但是部分受攻击网站采用了CDN服务，因此没有受到严重影响。该木马家族的出现时间仅有短短的1个月，却发现较多起由该家族发起的DDoS攻击事件，说明该木马传播速度较快，需要引起重视。

安天建议：
对于本次事件，安天建议用户尽快排查自身网络内是否有C2地址及被攻击目标地址的访问，并对可疑终端进行检测与排查，一旦发现有终端主机对上述地址有大量请求、连接极有可能已感染该木马程序。请您联系安天寻求专业帮助：400-840-9234。

安天再次提醒用户，安装能力型安全厂商提供的终端安全产品，推动积极防御、威胁情报与架构安全和被动防御的有效融合，建立攻击者难以预测的安全能力，达成有效防护和高度自动化和可操作化的安全业务价值。安全研究与应急处理中心（Antiy CERT）研究人员还在继续跟进，并将持续更新本分析报告。

特别鸣谢：黑龙江省委网信办、重庆市网信办、哈尔滨工业大学网络安全响应组、电信云堤

注：本分析报告由安天安全研究与应急处理中心（安天CERT）发布，欢迎无损转发。本分析报告错漏缺点在所难免，敬请业内专家和研究者回帖指点批评指正。

*本文作者：antiylab，转载请注明来自 FreeBuf.COM

antiylab
antiylab
15 篇文章
等级： 4级
||
上一篇：福特、宝马、英菲尼迪和日产汽车TCU存在漏洞，可被远程入侵下一篇：好莱坞特工的必备：维基解密公开 CIA 用来关闭摄像头监控的工具 Dumbo
这些评论亮了

Ty 回复
再下一个命名叫魔蛤
)14(亮了

tk 回复
安天爱好给漏洞起中文名。。。上次wannacry也起了个魔X。。。
)10(亮了

killvirus 回复
@ tk 年底好做扑克牌。。。
)6(亮了
发表评论已有 6 条评论

tk 2017-08-04回复 1楼
安天爱好给漏洞起中文名。。。上次wannacry也起了个魔X。。。

亮了(10)

killvirus 2017-08-04回复
@ tk 年底好做扑克牌。。。

亮了(6)

李丽 (2级) 2017-08-04回复 2楼
哈哈，顶一下 :oops: :sad:

亮了(0)

Flygend (2级) 2017-08-04回复 3楼
顶顶顶！！！

亮了(0)

Ty 2017-08-05回复 4楼
再下一个命名叫魔蛤

亮了(14)

fdfs 2017-08-07回复
@ Ty 歪， 有人在家吗，查水表啊。

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
antiylab
antiylab认证厂商

安天网络安全官方账号

15
文章数
1
评论数
最近文章
收到“来自自己”的敲诈邮件，请不要惊慌
2018.10.30

“绿斑”行动——持续多年的攻击
2018.09.28

针对工控恶意代码TRISIS的技术分析
2018.09.14

浏览更多
相关阅读
AV-TEST公布2013年反病毒年度大奖一例针对中国政府机构的准APT攻击中所使用的样本分析CNCERT关于“魔鼬”木马有关情况的预警通报
STIX和TAXII：了解国外较成熟的威胁情报标准快讯 | PayPal子公司TIO Networks被曝数据泄露，约160万名用户受害
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank