BlackMoon僵尸網(wǎng)絡(luò)江蘇省內(nèi)大規(guī)模傳播的風(fēng)險提示
2022年03月18日
一���、概述
近期��,國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)監(jiān)測發(fā)現(xiàn)BlackMoon僵尸網(wǎng)絡(luò)在我國互聯(lián)網(wǎng)進行大規(guī)模傳播���,國家互聯(lián)網(wǎng)應(yīng)急中心江蘇分中心(JSCERT)通過跟蹤監(jiān)測發(fā)現(xiàn)該僵尸網(wǎng)絡(luò)2月省內(nèi)控制規(guī)模(以IP數(shù)計算)已超過10萬,日上線肉雞數(shù)最高達16865臺��,給我省網(wǎng)絡(luò)空間帶來較大威脅�����。
二�、樣本分析
(一)分析介紹
該僵尸網(wǎng)絡(luò)大規(guī)模傳播的樣本涉及10個下載鏈接、6個惡意樣本(詳情見第五節(jié)相關(guān)IOC)���,樣本分為兩類:一類用于連接C2��,接受控制命令的解析程序���,包括Yic.exe、nby.exe�、yy1.exe、ii7.exe、ii8.exe����、sTup.exe;另一類為執(zhí)行DDoS攻擊的程序��,為Nidispla2.exe��。該僵尸網(wǎng)絡(luò)樣本功能不復(fù)雜����,僅發(fā)現(xiàn)DDoS功能,截至目前攻擊目標均為一個IP�,且未發(fā)現(xiàn)針對該IP的明顯攻擊流量�,因此初步懷疑該僵尸網(wǎng)絡(luò)還在測試過程中。接受控制指令的惡意代碼����,由e語言編寫。
(二)詳細分析
樣本運行后���,創(chuàng)建名為:kongxin1123的互斥量防止惡意代碼多次運行����,之后通過遍歷固定字符串的方式找到內(nèi)置的HPSocket4C庫文件,該庫一個網(wǎng)絡(luò)通信庫����,加載到內(nèi)存進行注冊。
(三)DDoS攻擊模式
1.Post模式攻擊指令:
2.GET模式攻擊指令:
3.TCP模式攻擊指令:
4.設(shè)置Ling_同步消息回復(fù):
5.Ling_同步消息:
6.停止攻擊指令等命令:
(四)傳播方式分析
通過關(guān)聯(lián)分析發(fā)現(xiàn)��,該BlackMoon僵尸網(wǎng)絡(luò)傳播方式之一是借助獨狼(Rovnix)僵尸網(wǎng)絡(luò)進行傳播���。獨狼僵尸網(wǎng)絡(luò)通過帶毒激活工具(暴風(fēng)激活���、小馬激活、KMS等)進行傳播����,常被用來推廣病毒和流氓軟件。
三�、僵尸網(wǎng)絡(luò)江蘇省內(nèi)感染規(guī)模
通過監(jiān)測分析發(fā)現(xiàn),2022年2月1日至2月28日BlackMoon僵尸網(wǎng)絡(luò)省內(nèi)日上線肉雞數(shù)最高達到16865臺�����,省內(nèi)累計感染肉雞數(shù)達到104074臺�,每日上線肉雞數(shù)情況如下圖所示:
通過監(jiān)測分析發(fā)現(xiàn),2022年2月1日至2月28日省內(nèi)IP涉及BlackMoon僵尸網(wǎng)絡(luò)惡意通信最高達到240013次�,累計惡意通信達到1735587次�����,BlackMoon僵尸網(wǎng)絡(luò)惡意通信按日統(tǒng)計情況如下圖所示:
BlackMoon僵尸網(wǎng)絡(luò)省內(nèi)肉雞按地市統(tǒng)計(以IP數(shù)計算)���,排名前三位的分別為蘇州市(21386臺,20.57%)�、南京市(16074,15.46%)和徐州市(11644�����,11.20%)�����;
按運營商統(tǒng)計�����,電信75836臺����,占比72.87%����;移動25233臺�����,占比24.25%����,聯(lián)通3002臺��,占比2.88%�����。
四����、防范建議
請廣大網(wǎng)民強化風(fēng)險意識,加強安全防范���,避免不必要的經(jīng)濟損失�,主要建議包括:
1���、不要點擊來源不明郵件����。
2、不要打開來源不可靠網(wǎng)站�。
3、不要安裝來源不明軟件��。
4��、不要插拔來歷不明的存儲介質(zhì)����。
當(dāng)發(fā)現(xiàn)主機感染僵尸木馬程序后,立即核實主機受控情況和入侵途徑��,并對受害主機進行清理���。
