• 我的位置:
  • 首頁(yè)
  • -
  • 緊急預(yù)警
  • -
    • 數(shù)萬(wàn)臺(tái)設(shè)備已被影響!疑似DDOS團(tuán)伙Blackmoon再現(xiàn)江湖
    預(yù)警來(lái)源:深信服    發(fā)布時(shí)間:2023-03-17


    1.惡意文件描述

    近期,深信服深盾終端實(shí)驗(yàn)室在運(yùn)營(yíng)工作中發(fā)現(xiàn)了一款僵尸網(wǎng)絡(luò)病毒,通過(guò)跟蹤監(jiān)測(cè)發(fā)現(xiàn),該病毒近期肉雞控制規(guī)模已達(dá) 6 萬(wàn)以上。


    經(jīng)分析,該病毒所使用的網(wǎng)絡(luò)資產(chǎn)與 DDOS 團(tuán)伙 BlackMoon 的網(wǎng)絡(luò)資產(chǎn)存在重疊。該病毒已產(chǎn)生一次變種,但功能基本一致,均由對(duì)應(yīng) C2 下達(dá)指令對(duì)目標(biāo) IP發(fā)起 DDOS 攻擊。該攻擊占用宿主機(jī)大量資源,同時(shí)被攻擊目標(biāo)也將遭受網(wǎng)站堵塞、服務(wù)器癱瘓等巨大威脅。

    圖片

    2.惡意文件分析


    該僵尸網(wǎng)絡(luò)病毒樣本由 go 語(yǔ)言編寫。


    在初次運(yùn)行時(shí),該樣本會(huì)通過(guò)查詢注冊(cè)表鍵值以獲取當(dāng)前宿主機(jī)名稱等信息,并將在后續(xù)功能中使用到該類信息。


    隨后程序通過(guò) TCP 協(xié)議與 C2 服務(wù)器進(jìn)行遠(yuǎn)程通信。程序會(huì)將硬編碼在樣本中的域名作為 C2 地址。


    與 C2 服務(wù)器建立連接之后,程序首先向 C2 服務(wù)器發(fā)送一個(gè) “ok” 字符串,并進(jìn)入預(yù)定時(shí)長(zhǎng)等待。


    若 C2 服務(wù)器接收到該請(qǐng)求,將會(huì)回復(fù)字符串 “1337”。該階段表示樣本成功上線,隨后病毒進(jìn)入第一次循環(huán)監(jiān)聽狀態(tài),等待接受 C2 服務(wù)器下達(dá)的指令。


    當(dāng) C2 發(fā)送第一輪指令時(shí),病毒對(duì)接受的指令進(jìn)行判斷,并進(jìn)入對(duì)應(yīng)的 DDOS 攻擊類型分支,如 post、http 等。


    隨后病毒創(chuàng)建一個(gè)周期性計(jì)時(shí)器,在有效時(shí)間內(nèi)進(jìn)入第二次監(jiān)聽狀態(tài),等待 C2 服務(wù)器下發(fā)第二輪指令,包括但不限于需要攻擊的 IP 或域名。


    病毒還會(huì)根據(jù)之前獲得的宿主機(jī)信息,判斷操作系統(tǒng)是 Windows 還是 Android、IOS,將取得的結(jié)果進(jìn)行比對(duì)后,不同的操作系統(tǒng)執(zhí)行 DDOS 攻擊時(shí)會(huì)采用不同的UA,不同的攻擊類型也會(huì)擁有不同的請(qǐng)求頭。


    圖片

    情報(bào)關(guān)聯(lián)分析


    本次樣本于 2023 年 2 月 2 日發(fā)現(xiàn),為變種樣本,活動(dòng)最早可追溯至 2022 年 7 月。


    在情報(bào)識(shí)別中,樣本下載鏈接與 DDOS 團(tuán)伙 BlackMoon 團(tuán)隊(duì)曾使用的網(wǎng)絡(luò)資產(chǎn)重疊,故初步判斷此次僵尸網(wǎng)絡(luò)事件所屬團(tuán)伙可能為 BlackMoon。


    原始樣本與變種樣本功能相似,不同點(diǎn)在于通信協(xié)議較多,且不判斷系統(tǒng),下圖是原始樣本功能場(chǎng)景:


    IOCs


    B34D7ED024EC71421EAA857E98E5B2E2

    57ACC280049394A4FE8581D7A29D1F6B

    83DD26840EE3606A406553F82DDB66B9

    4AE2CDF1BB4E2A53B40FBA1024911E10

    3FF63F13497A2F8271634166B585CB7C

    ddc.wuxianlequ.com

    yyy.wuxianlequ.com

    8.219.160.241

    8.218.16.68

    8.219.214.251

    解決方案

    圖片

    處置建議

    1. 避免將重要服務(wù)在外網(wǎng)開放,若一定要開放,需增加口令復(fù)雜度,避免使用弱口令。

    2. 避免打開可疑或來(lái)歷不明的郵件,尤其是其中的鏈接和附件等,如一定要打開未知文件,請(qǐng)先使用殺毒軟件進(jìn)行掃描。

    3. 安裝信譽(yù)良好的防病毒/反間諜軟件,定期進(jìn)行系統(tǒng)全盤掃描,并刪除檢測(cè)到的威脅,按時(shí)升級(jí)打補(bǔ)丁。

    4. 使用官方和經(jīng)過(guò)驗(yàn)證的下載渠道,使用正版開發(fā)人員提供的工具/功能激活和更新產(chǎn)品,不建議使用非法激活工具和第三方下載器,因?yàn)樗鼈兺ǔS糜诜职l(fā)惡意內(nèi)容。

    圖片

    深信服解決方案

    【深信服終端安全管理系統(tǒng)EDR】已支持查殺攔截此次事件使用的病毒文件,請(qǐng)更新軟件(如有定制請(qǐng)先咨詢售后再更新版本)和病毒庫(kù)至最新版本,設(shè)置相應(yīng)的防護(hù)策略,獲取全方位的勒索防護(hù);

    【深信服檢測(cè)響應(yīng)平臺(tái)XDR】已支持檢測(cè)該新型木馬的惡意行為,請(qǐng)更新軟件(如有定制請(qǐng)先咨詢售后再更新版本)和 IOA 規(guī)則庫(kù)、IOC 規(guī)則庫(kù)至最新版本,設(shè)置相應(yīng)的檢測(cè)策略,獲取全方位的高級(jí)威脅檢測(cè)能力;

    【深信服下一代防火墻AF】的安全防護(hù)規(guī)則更新至最新版本,接入深信服云平臺(tái),"云鑒" 服務(wù)即可輕松抵御此高危風(fēng)險(xiǎn)。

    【深信服安全感知管理平臺(tái)SIP】建議用戶及時(shí)更新規(guī)則庫(kù),接入云圖,并聯(lián)動(dòng)【深信服下一代防火墻AF】實(shí)現(xiàn)對(duì)高危風(fēng)險(xiǎn)的入侵防護(hù)。

    【深信服安全托管服務(wù)MSS】以保障用戶網(wǎng)絡(luò)安全"持續(xù)有效"為目標(biāo),通過(guò)將用戶安全設(shè)備接入安全運(yùn)營(yíng)中心,依托于 XDR 安全能力平臺(tái)和 MSSP 安全服務(wù)平臺(tái)實(shí)現(xiàn)有效協(xié)同的 "人機(jī)共智" 模式,圍繞資產(chǎn)、脆弱性、威脅、事件四個(gè)要素為用戶提供 7*24H 的安全運(yùn)營(yíng)服務(wù),快速擴(kuò)展持續(xù)有效的安全運(yùn)營(yíng)能力,保障可承諾的風(fēng)險(xiǎn)管控效果。