频道栏目
首页 > 安全 > 网络安全 > 正文

安天发现新型DDoS攻击木马“魔鼬”

2017-08-05 15:02:05      个评论      
收藏   我要投稿

一、概述

2017年7月30日,安天安全研究与应急处理中心(Antiy CERT)的工程师发现一种具备拒绝服务(DDoS)攻击能力的新型木马。经初步分析,安天CERT工程师认为该木马属于一个新家族,并将其命名为“魔鼬”。通过关联查询安天对于DDoS攻击的历史监测数据,发现本次事件中受攻击的域名同时也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻击。

二、受攻击目标

通过样本分析,发现被攻击域名或IP多为操作系统下载站点,受攻击的域名/IP和对应的网站名如下表所示。

\

通过电信云堤的协助分析,我们在部分网络出口提取攻击数据,部分域名访问量抽样统计如下:

\
\

在运营商的大部分骨干网设备上都可以观察到攻击流量和C2心跳,具体感染数量有待进一步核查。

三、事件样本分析

样本的编译时间为2017-07-01 21:22:54(时间戳 5957A22E),根据前面的攻击事件发现时间,初步认为该时间是未经过篡改的,可见该木马家族的出现时间仅有短短的1个月。

\

样本的运行流程和主要行为如下:

1. 创建互斥量保证唯一实例运行。

\

2. 加载资源数据,读取指定偏移的内容作为C2地址(www.linux288.com)。

\

3. 连接C2服务器,发送本机系统信息(包括主机名、CPU、内存、系统版本等),接收C2返回的攻击目标列表。

\

4. 在分析中我们发现,C2返回的攻击目标列表数据每隔一段时间会发生变化,从而控制受害主机向不同的IP或域名发动攻击。

\

5. 接收到数据后,样本按指定的格式解析攻击列表数据(link_list和task_list)。

\

6. 样本根据task_list地址和配置,创建大量线程,向目标地址发起DDoS攻击。

\

四、相关事件关联

对本次事件中的被攻击域名进行关联查询,发现部分域名在相近时间也遭受了其他组织的DDoS攻击,详细信息如下:

\

部分域名受攻击的数据如下所示:

\
\
\

五、总结

经过分析和关联查询,发现在相近时间内多个组织对相同目标发起DDoS

攻击。从目前掌握的资料来看,本次DDoS事件的攻击强度足以瘫痪一般的网站,但是部分受攻击网站采用了CDN服务,因此没有受到严重影响。该木马家族的出现时间仅有短短的1个月,却发现较多起由该家族发起的DDoS攻击事件,说明该木马传播速度较快,需要引起重视。

安天建议:

对于本次事件,安天建议用户尽快排查自身网络内是否有C2地址及被攻击目标地址的访问,并对可疑终端进行检测与排查,一旦发现有终端主机对上述地址有大量请求、连接极有可能已感染该木马程序。请您联系安天寻求专业帮助:400-840-9234。

安天再次提醒用户,安装能力型安全厂商提供的终端安全产品,推动积极防御、威胁情报与架构安全和被动防御的有效融合,建立攻击者难以预测的安全能力,达成有效防护和高度自动化和可操作化的安全业务价值。安全研究与应急处理中心(Antiy CERT)研究人员还在继续跟进,并将持续更新本分析报告。

特别鸣谢:黑龙江省委网信办、重庆市网信办、哈尔滨工业大学网络安全响应组、电信云堤

注:本分析报告由安天安全研究与应急处理中心(安天CERT)发布,欢迎无损转发。本分析报告错漏缺点在所难免,敬请业内专家和研究者回帖指点批评指正。

上一篇:这款奇特的银行木马可以根据鼠标移动轨迹来区分用户和虚拟机
下一篇:Web端口复用正向后门研究实现与防御
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站