BlackMoon僵尸網(wǎng)絡(luò)江蘇省內(nèi)大規(guī)模傳播的風險提示
2022年03月18日
一�、概述
近期,國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)監(jiān)測發(fā)現(xiàn)BlackMoon僵尸網(wǎng)絡(luò)在我國互聯(lián)網(wǎng)進行大規(guī)模傳播��,國家互聯(lián)網(wǎng)應(yīng)急中心江蘇分中心(JSCERT)通過跟蹤監(jiān)測發(fā)現(xiàn)該僵尸網(wǎng)絡(luò)2月省內(nèi)控制規(guī)模(以IP數(shù)計算)已超過10萬�����,日上線肉雞數(shù)最高達16865臺��,給我省網(wǎng)絡(luò)空間帶來較大威脅��。
二���、樣本分析
(一)分析介紹
該僵尸網(wǎng)絡(luò)大規(guī)模傳播的樣本涉及10個下載鏈接�、6個惡意樣本(詳情見第五節(jié)相關(guān)IOC)�,樣本分為兩類:一類用于連接C2,接受控制命令的解析程序��,包括Yic.exe���、nby.exe、yy1.exe�����、ii7.exe、ii8.exe���、sTup.exe�;另一類為執(zhí)行DDoS攻擊的程序��,為Nidispla2.exe�。該僵尸網(wǎng)絡(luò)樣本功能不復雜,僅發(fā)現(xiàn)DDoS功能���,截至目前攻擊目標均為一個IP���,且未發(fā)現(xiàn)針對該IP的明顯攻擊流量,因此初步懷疑該僵尸網(wǎng)絡(luò)還在測試過程中���。接受控制指令的惡意代碼�����,由e語言編寫��。
(二)詳細分析
樣本運行后��,創(chuàng)建名為:kongxin1123的互斥量防止惡意代碼多次運行�,之后通過遍歷固定字符串的方式找到內(nèi)置的HPSocket4C庫文件,該庫一個網(wǎng)絡(luò)通信庫��,加載到內(nèi)存進行注冊�����。
(三)DDoS攻擊模式
1.Post模式攻擊指令:
2.GET模式攻擊指令:
3.TCP模式攻擊指令:
4.設(shè)置Ling_同步消息回復:
5.Ling_同步消息:
6.停止攻擊指令等命令:
(四)傳播方式分析
通過關(guān)聯(lián)分析發(fā)現(xiàn)�,該BlackMoon僵尸網(wǎng)絡(luò)傳播方式之一是借助獨狼(Rovnix)僵尸網(wǎng)絡(luò)進行傳播。獨狼僵尸網(wǎng)絡(luò)通過帶毒激活工具(暴風激活����、小馬激活、KMS等)進行傳播�,常被用來推廣病毒和流氓軟件。
三�����、僵尸網(wǎng)絡(luò)江蘇省內(nèi)感染規(guī)模
通過監(jiān)測分析發(fā)現(xiàn)����,2022年2月1日至2月28日BlackMoon僵尸網(wǎng)絡(luò)省內(nèi)日上線肉雞數(shù)最高達到16865臺,省內(nèi)累計感染肉雞數(shù)達到104074臺�,每日上線肉雞數(shù)情況如下圖所示:
通過監(jiān)測分析發(fā)現(xiàn),2022年2月1日至2月28日省內(nèi)IP涉及BlackMoon僵尸網(wǎng)絡(luò)惡意通信最高達到240013次����,累計惡意通信達到1735587次,BlackMoon僵尸網(wǎng)絡(luò)惡意通信按日統(tǒng)計情況如下圖所示:
BlackMoon僵尸網(wǎng)絡(luò)省內(nèi)肉雞按地市統(tǒng)計(以IP數(shù)計算)�����,排名前三位的分別為蘇州市(21386臺�,20.57%)、南京市(16074���,15.46%)和徐州市(11644��,11.20%)�����;
按運營商統(tǒng)計�����,電信75836臺��,占比72.87%�;移動25233臺�,占比24.25%����,聯(lián)通3002臺�����,占比2.88%��。
四����、防范建議
請廣大網(wǎng)民強化風險意識,加強安全防范�,避免不必要的經(jīng)濟損失,主要建議包括:
1����、不要點擊來源不明郵件。
2��、不要打開來源不可靠網(wǎng)站�����。
3��、不要安裝來源不明軟件。
4����、不要插拔來歷不明的存儲介質(zhì)�。
當發(fā)現(xiàn)主機感染僵尸木馬程序后,立即核實主機受控情況和入侵途徑��,并對受害主機進行清理��。
