数万台设备已被影响!疑似ddos团伙blackmoon再现江湖
预警来源:深信服    发布时间:2023-03-17


1.恶意文件描述

近期,深信服深盾终端实验室在运营工作中发现了一款僵尸网络病毒,通过跟踪监测发现,该病毒近期肉鸡控制规模已达 6 万以上。


经分析,该病毒所使用的网络资产与 ddos 团伙 blackmoon 的网络资产存在重叠。该病毒已产生一次变种,但功能基本一致,均由对应 c2 下达指令对目标 ip发起 ddos 攻击。该攻击占用宿主机大量资源,同时被攻击目标也将遭受网站堵塞、瘫痪等巨大威胁。

2.恶意文件分析


该僵尸网络病毒样本由 go 语言编写。


在初次运行时,该样本会通过查询注册表键值以获取当前宿主机名称等信息,并将在后续功能中使用到该类信息。


随后程序通过 tcp 协议与 c2 进行远程通信。程序会将硬编码在样本中的域名作为 c2 地址。


与 c2 建立连接之后,程序首先向 c2 发送一个 “ok” 字符串,并进入预定时长等待。


若 c2 接收到该请求,将会回复字符串 “1337”。该阶段表示样本成功上线,随后病毒进入第一次循环监听状态,等待接受 c2 下达的指令。


当 c2 发送第一轮指令时,病毒对接受的指令进行判断,并进入对应的 ddos 攻击类型分支,如 post、http 等。


随后病毒创建一个周期性计时器,在有效时间内进入第二次监听状态,等待 c2 下发第二轮指令,包括但不限于需要攻击的 ip 或域名。


病毒还会根据之前获得的宿主机信息,判断操作系统是 windows 还是 android、ios,将取得的结果进行比对后,不同的操作系统执行 ddos 攻击时会采用不同的ua,不同的攻击类型也会拥有不同的请求头。


情报关联分析


本次样本于 2023 年 2 月 2 日发现,为变种样本,活动最早可追溯至 2022 年 7 月。


在情报识别中,样本下载链接与 ddos 团伙 blackmoon 团队曾使用的网络资产重叠,故初步判断此次僵尸网络事件所属团伙可能为 blackmoon。


原始样本与变种样本功能相似,不同点在于通信协议较多,且不判断系统,下图是原始样本功能场景:


iocs


b34d7ed024ec71421eaa857e98e5b2e2

57acc280049394a4fe8581d7a29d1f6b

83dd26840ee3606a406553f82ddb66b9

4ae2cdf1bb4e2a53b40fba1024911e10

3ff63f13497a2f8271634166b585cb7c

ddc.wuxianlequ.com

yyy.wuxianlequ.com

8.219.160.241

8.218.16.68

8.219.214.251

正规网赌十大娱乐棋牌的解决方案

处置建议

1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。

2. 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。

3. 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。

4. 使用官方和经过验证的下载渠道,使用正版开发人员提供的工具/功能激活和更新产品,不建议使用非法激活工具和第三方下载器,因为它们通常用于分发恶意内容。

深信服正规网赌十大娱乐棋牌的解决方案

【深信服终端安全管理系统edr】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,设置相应的防护策略,获取全方位的勒索防护;

【深信服检测响应平台xdr】已支持检测该新型木马的恶意行为,请更新软件(如有定制请先咨询售后再更新版本)和 ioa 规则库、ioc 规则库至最新版本,设置相应的检测策略,获取全方位的高级威胁检测能力;

【深信服下一代防火墙af】的安全防护规则更新至最新版本,接入深信服云平台,"云鉴" 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台sip】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙af】实现对高危风险的入侵防护。

【深信服安全托管服务mss】以保障用户网络安全"持续有效"为目标,通过将用户安全设备接入安全运营中心,依托于 xdr 安全能力平台和 mssp 安全服务平台实现有效协同的 "人机共智" 模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供 7*24h 的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。