BlackMoon僵尸網(wǎng)絡(luò)江蘇省內(nèi)大規(guī)模傳播的風(fēng)險(xiǎn)提示
2022年03月18日
一��、概述
近期�,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)監(jiān)測(cè)發(fā)現(xiàn)BlackMoon僵尸網(wǎng)絡(luò)在我國(guó)互聯(lián)網(wǎng)進(jìn)行大規(guī)模傳播���,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心江蘇分中心(JSCERT)通過(guò)跟蹤監(jiān)測(cè)發(fā)現(xiàn)該僵尸網(wǎng)絡(luò)2月省內(nèi)控制規(guī)模(以IP數(shù)計(jì)算)已超過(guò)10萬(wàn)��,日上線肉雞數(shù)最高達(dá)16865臺(tái)��,給我省網(wǎng)絡(luò)空間帶來(lái)較大威脅�。
二��、樣本分析
(一)分析介紹
該僵尸網(wǎng)絡(luò)大規(guī)模傳播的樣本涉及10個(gè)下載鏈接�、6個(gè)惡意樣本(詳情見(jiàn)第五節(jié)相關(guān)IOC),樣本分為兩類(lèi):一類(lèi)用于連接C2��,接受控制命令的解析程序����,包括Yic.exe、nby.exe���、yy1.exe��、ii7.exe�、ii8.exe、sTup.exe��;另一類(lèi)為執(zhí)行DDoS攻擊的程序���,為Nidispla2.exe�����。該僵尸網(wǎng)絡(luò)樣本功能不復(fù)雜�,僅發(fā)現(xiàn)DDoS功能���,截至目前攻擊目標(biāo)均為一個(gè)IP���,且未發(fā)現(xiàn)針對(duì)該IP的明顯攻擊流量,因此初步懷疑該僵尸網(wǎng)絡(luò)還在測(cè)試過(guò)程中��。接受控制指令的惡意代碼�,由e語(yǔ)言編寫(xiě)。
(二)詳細(xì)分析
樣本運(yùn)行后�����,創(chuàng)建名為:kongxin1123的互斥量防止惡意代碼多次運(yùn)行,之后通過(guò)遍歷固定字符串的方式找到內(nèi)置的HPSocket4C庫(kù)文件���,該庫(kù)一個(gè)網(wǎng)絡(luò)通信庫(kù)�,加載到內(nèi)存進(jìn)行注冊(cè)���。
(三)DDoS攻擊模式
1.Post模式攻擊指令:
2.GET模式攻擊指令:
3.TCP模式攻擊指令:
4.設(shè)置Ling_同步消息回復(fù):
5.Ling_同步消息:
6.停止攻擊指令等命令:
(四)傳播方式分析
通過(guò)關(guān)聯(lián)分析發(fā)現(xiàn),該BlackMoon僵尸網(wǎng)絡(luò)傳播方式之一是借助獨(dú)狼(Rovnix)僵尸網(wǎng)絡(luò)進(jìn)行傳播���。獨(dú)狼僵尸網(wǎng)絡(luò)通過(guò)帶毒激活工具(暴風(fēng)激活����、小馬激活���、KMS等)進(jìn)行傳播���,常被用來(lái)推廣病毒和流氓軟件。
三��、僵尸網(wǎng)絡(luò)江蘇省內(nèi)感染規(guī)模
通過(guò)監(jiān)測(cè)分析發(fā)現(xiàn)���,2022年2月1日至2月28日BlackMoon僵尸網(wǎng)絡(luò)省內(nèi)日上線肉雞數(shù)最高達(dá)到16865臺(tái)����,省內(nèi)累計(jì)感染肉雞數(shù)達(dá)到104074臺(tái),每日上線肉雞數(shù)情況如下圖所示:
通過(guò)監(jiān)測(cè)分析發(fā)現(xiàn)����,2022年2月1日至2月28日省內(nèi)IP涉及BlackMoon僵尸網(wǎng)絡(luò)惡意通信最高達(dá)到240013次,累計(jì)惡意通信達(dá)到1735587次��,BlackMoon僵尸網(wǎng)絡(luò)惡意通信按日統(tǒng)計(jì)情況如下圖所示:
BlackMoon僵尸網(wǎng)絡(luò)省內(nèi)肉雞按地市統(tǒng)計(jì)(以IP數(shù)計(jì)算)�,排名前三位的分別為蘇州市(21386臺(tái),20.57%)��、南京市(16074����,15.46%)和徐州市(11644,11.20%)���;
按運(yùn)營(yíng)商統(tǒng)計(jì)��,電信75836臺(tái)�����,占比72.87%�;移動(dòng)25233臺(tái),占比24.25%����,聯(lián)通3002臺(tái),占比2.88%�����。
四�����、防范建議
請(qǐng)廣大網(wǎng)民強(qiáng)化風(fēng)險(xiǎn)意識(shí)�����,加強(qiáng)安全防范�����,避免不必要的經(jīng)濟(jì)損失���,主要建議包括:
1���、不要點(diǎn)擊來(lái)源不明郵件。
2�����、不要打開(kāi)來(lái)源不可靠網(wǎng)站�。
3、不要安裝來(lái)源不明軟件���。
4�����、不要插拔來(lái)歷不明的存儲(chǔ)介質(zhì)���。
當(dāng)發(fā)現(xiàn)主機(jī)感染僵尸木馬程序后,立即核實(shí)主機(jī)受控情況和入侵途徑���,并對(duì)受害主機(jī)進(jìn)行清理�����。
