欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

安天发现新型DDoS攻击木马“魔鼬”

来源:本站整理 作者:佚名 时间:2017-08-04 TAG: 我要投稿

一、概述
2017年7月30日,安天安全研究与应急处理中心(Antiy CERT)的工程师发现一种具备拒绝服务(DDoS)攻击能力的新型木马。经初步分析,安天CERT工程师认为该木马属于一个新家族,并将其命名为“魔鼬”。通过关联查询安天对于DDoS攻击的历史监测数据,发现本次事件中受攻击的域名同时也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻击。
二、受攻击目标
通过样本分析,发现被攻击域名或IP多为操作系统下载站点,受攻击的域名/IP和对应的网站名如下表所示。

通过电信云堤的协助分析,我们在部分网络出口提取攻击数据,部分域名访问量抽样统计如下:


在运营商的大部分骨干网设备上都可以观察到攻击流量和C2心跳,具体感染数量有待进一步核查。
三、事件样本分析
样本的编译时间为2017-07-01 21:22:54(时间戳 5957A22E),根据前面的攻击事件发现时间,初步认为该时间是未经过篡改的,可见该木马家族的出现时间仅有短短的1个月。

样本的运行流程和主要行为如下:
1. 创建互斥量保证唯一实例运行。

2. 加载资源数据,读取指定偏移的内容作为C2地址(www.linux288.com)。

3. 连接C2服务器,发送本机系统信息(包括主机名、CPU、内存、系统版本等),接收C2返回的攻击目标列表。

4.  在分析中我们发现,C2返回的攻击目标列表数据每隔一段时间会发生变化,从而控制受害主机向不同的IP或域名发动攻击。

5. 接收到数据后,样本按指定的格式解析攻击列表数据(link_list和task_list)。

 6. 样本根据task_list地址和配置,创建大量线程,向目标地址发起DDoS攻击。

四、相关事件关联
对本次事件中的被攻击域名进行关联查询,发现部分域名在相近时间也遭受了其他组织的DDoS攻击,详细信息如下:

部分域名受攻击的数据如下所示:



五、总结
经过分析和关联查询,发现在相近时间内多个组织对相同目标发起DDoS

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载