本文講的是<b>安天針對“魔鼬”木馬DDoS事件分析報告</b>,
1 概述
2017年7月30日,安天安全研究與應急進行中心(Antiy CERT)的工程師發現一種具備拒絕服務(DDoS)攻擊能力的新型木馬。經初步分析,安天CERT工程師認為該木馬屬于一個新家族,并将其命名為“魔鼬”。通過關聯查詢安天對于DDoS攻擊的曆史監測資料,發現本次事件中受攻擊的域名同時也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻擊。
2 受攻擊目标
通過樣本分析,發現被攻擊域名或IP多為作業系統下載下傳站點,受攻擊的域名/IP和對應的網站名如表2-1所示。
表2‑1受攻擊的域名/IP對應的網站
![](https://img.laitimes.com/img/__Qf2AjLwojIjJCLyojI0JCLicmbw5yN5gTO2IDNwQjM0cTMwUTMvw1MwgDM3EDMy8CXzRWYvxGc19CXt92YuU3boRjL3d3dvw1LcpDc0RHaiojIsJye.png)
通過電信雲堤的協助分析,我們在部分網絡出口提取攻擊資料,部分域名通路量抽樣統計如下:
圖2‑1對www.swerrt.cn域名的通路量
圖2‑2對win7.bdxsa.com域名的通路量
在營運商的大部分骨幹網裝置上都可以觀察到攻擊流量和C2心跳,具體感染數量有待進一步核查。
3 事件樣本分析
樣本的編譯時間為2017-07-01 21:22:54(時間戳 5957A22E),根據前面的攻擊事件發現時間,初步認為該時間是未經過篡改的,可見該木馬家族的出現時間僅有短短的1個月。
圖3‑1樣本時間戳
樣本的運作流程和主要行為如下:
1.建立互斥量保證唯一執行個體運作。
圖3‑2建立互斥量
2.加載資源資料,讀取指定偏移的内容作為C2位址(www.linux288.com)。
圖3‑3加載資源資料
3.連接配接C2伺服器,發送本機系統資訊(包括主機名、CPU、記憶體、系統版本等),接收C2傳回的攻擊目标清單。
圖3‑4接受伺服器傳回資料
4.在分析中我們發現,C2傳回的攻擊目标清單資料每隔一段時間會發生變化,進而控制受害主機向不同的IP或域名發動攻擊。
圖3‑5伺服器傳回不同的攻擊目标清單
5.接收到資料後,樣本按指定的格式解析攻擊清單資料(link_list和task_list)。
圖3‑6解析資料包内容
6.樣本根據task_list位址和配置,建立大量線程,向目标位址發起DDoS攻擊。
圖3‑7發起DDoS攻擊
4 相關事件關聯
對本次事件中的被攻擊域名進行關聯查詢,發現部分域名在相近時間也遭受了其他組織的DDoS攻擊,詳細資訊如下:
表4‑1關聯查詢結果
部分域名受攻擊的資料如下所示:
圖4‑1域名win7.hangzhouhongcaib.cn的攻擊資料
圖4‑2域名www.xiaomaxitong.cn的攻擊資料
圖4‑3域名x1.xy1758.com的攻擊資料
5 總結
經過分析和關聯查詢,發現在相近時間内多個組織對相同目标發起DDoS攻擊。從目前掌握的資料來看,本次DDoS事件的攻擊強度足以癱瘓一般的網站,但是部分受攻擊網站采用了CDN服務,是以沒有受到嚴重影響。該木馬家族的出現時間僅有短短的1個月,卻發現較多起由該家族發起的DDoS攻擊事件,說明該木馬傳播速度較快,需要引起重視。
原文釋出時間為:2017年8月3日
本文作者:安天
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/technology/6964.html" target="_blank">原文連結</a>