• 我的位置:
  • 首頁
  • -
  • 緊急預警
  • -
    • 數(shù)萬臺設備已被影響!疑似DDOS團伙Blackmoon再現(xiàn)江湖
    預警來源:深信服    發(fā)布時間:2023-03-17


    1.惡意文件描述

    近期,深信服深盾終端實驗室在運營工作中發(fā)現(xiàn)了一款僵尸網(wǎng)絡病毒,通過跟蹤監(jiān)測發(fā)現(xiàn),該病毒近期肉雞控制規(guī)模已達 6 萬以上。


    經(jīng)分析,該病毒所使用的網(wǎng)絡資產(chǎn)與 DDOS 團伙 BlackMoon 的網(wǎng)絡資產(chǎn)存在重疊。該病毒已產(chǎn)生一次變種,但功能基本一致,均由對應 C2 下達指令對目標 IP發(fā)起 DDOS 攻擊。該攻擊占用宿主機大量資源,同時被攻擊目標也將遭受網(wǎng)站堵塞、服務器癱瘓等巨大威脅。

    圖片

    2.惡意文件分析


    該僵尸網(wǎng)絡病毒樣本由 go 語言編寫。


    在初次運行時,該樣本會通過查詢注冊表鍵值以獲取當前宿主機名稱等信息,并將在后續(xù)功能中使用到該類信息。


    隨后程序通過 TCP 協(xié)議與 C2 服務器進行遠程通信。程序會將硬編碼在樣本中的域名作為 C2 地址。


    與 C2 服務器建立連接之后,程序首先向 C2 服務器發(fā)送一個 “ok” 字符串,并進入預定時長等待。


    若 C2 服務器接收到該請求,將會回復字符串 “1337”。該階段表示樣本成功上線,隨后病毒進入第一次循環(huán)監(jiān)聽狀態(tài),等待接受 C2 服務器下達的指令。


    當 C2 發(fā)送第一輪指令時,病毒對接受的指令進行判斷,并進入對應的 DDOS 攻擊類型分支,如 post、http 等。


    隨后病毒創(chuàng)建一個周期性計時器,在有效時間內(nèi)進入第二次監(jiān)聽狀態(tài),等待 C2 服務器下發(fā)第二輪指令,包括但不限于需要攻擊的 IP 或域名。


    病毒還會根據(jù)之前獲得的宿主機信息,判斷操作系統(tǒng)是 Windows 還是 Android、IOS,將取得的結(jié)果進行比對后,不同的操作系統(tǒng)執(zhí)行 DDOS 攻擊時會采用不同的UA,不同的攻擊類型也會擁有不同的請求頭。


    圖片

    情報關聯(lián)分析


    本次樣本于 2023 年 2 月 2 日發(fā)現(xiàn),為變種樣本,活動最早可追溯至 2022 年 7 月。


    在情報識別中,樣本下載鏈接與 DDOS 團伙 BlackMoon 團隊曾使用的網(wǎng)絡資產(chǎn)重疊,故初步判斷此次僵尸網(wǎng)絡事件所屬團伙可能為 BlackMoon。


    原始樣本與變種樣本功能相似,不同點在于通信協(xié)議較多,且不判斷系統(tǒng),下圖是原始樣本功能場景:


    IOCs


    B34D7ED024EC71421EAA857E98E5B2E2

    57ACC280049394A4FE8581D7A29D1F6B

    83DD26840EE3606A406553F82DDB66B9

    4AE2CDF1BB4E2A53B40FBA1024911E10

    3FF63F13497A2F8271634166B585CB7C

    ddc.wuxianlequ.com

    yyy.wuxianlequ.com

    8.219.160.241

    8.218.16.68

    8.219.214.251

    解決方案

    圖片

    處置建議

    1. 避免將重要服務在外網(wǎng)開放,若一定要開放,需增加口令復雜度,避免使用弱口令。

    2. 避免打開可疑或來歷不明的郵件,尤其是其中的鏈接和附件等,如一定要打開未知文件,請先使用殺毒軟件進行掃描。

    3. 安裝信譽良好的防病毒/反間諜軟件,定期進行系統(tǒng)全盤掃描,并刪除檢測到的威脅,按時升級打補丁。

    4. 使用官方和經(jīng)過驗證的下載渠道,使用正版開發(fā)人員提供的工具/功能激活和更新產(chǎn)品,不建議使用非法激活工具和第三方下載器,因為它們通常用于分發(fā)惡意內(nèi)容。

    圖片

    深信服解決方案

    【深信服終端安全管理系統(tǒng)EDR】已支持查殺攔截此次事件使用的病毒文件,請更新軟件(如有定制請先咨詢售后再更新版本)和病毒庫至最新版本,設置相應的防護策略,獲取全方位的勒索防護;

    【深信服檢測響應平臺XDR】已支持檢測該新型木馬的惡意行為,請更新軟件(如有定制請先咨詢售后再更新版本)和 IOA 規(guī)則庫、IOC 規(guī)則庫至最新版本,設置相應的檢測策略,獲取全方位的高級威脅檢測能力;

    【深信服下一代防火墻AF】的安全防護規(guī)則更新至最新版本,接入深信服云平臺,"云鑒" 服務即可輕松抵御此高危風險。

    【深信服安全感知管理平臺SIP】建議用戶及時更新規(guī)則庫,接入云圖,并聯(lián)動【深信服下一代防火墻AF】實現(xiàn)對高危風險的入侵防護。

    【深信服安全托管服務MSS】以保障用戶網(wǎng)絡安全"持續(xù)有效"為目標,通過將用戶安全設備接入安全運營中心,依托于 XDR 安全能力平臺和 MSSP 安全服務平臺實現(xiàn)有效協(xié)同的 "人機共智" 模式,圍繞資產(chǎn)、脆弱性、威脅、事件四個要素為用戶提供 7*24H 的安全運營服務,快速擴展持續(xù)有效的安全運營能力,保障可承諾的風險管控效果。