网安 - 专业的网络安全产业、社区、知识平台

CNCERT:关于BlackMoon僵尸网络大规模传播的风险提示

VSole2022-03-02 17:52:11

近期,CNCERT监测发现BlackMoon僵尸网络在互联网上进行大规模传播,通过跟踪监测发现其1月控制规模(以IP数计算)已超过100万,日上线肉鸡数最高达21万,给网络空间带来较大威胁。具体情况如下:

一 僵尸网络分析

(一)相关样本分析

该僵尸网络大规模传播的样本涉及10个下载链接、6个恶意样本(详情见第4节相关IOC),样本分为两类:一类用于连接C2,接受控制命令的解析程序,包括Yic.exe、nby.exe、yy1.exe、ii7.exe、ii8.exe;另一类为执行DDoS攻击的程序,为Nidispla2.exe。该僵尸网络样本功能不复杂,仅发现DDoS功能,截至目前攻击目标均为一个IP,且未发现针对该IP的明显攻击流量,因此初步怀疑该僵尸网络还在测试过程中。

接受控制指令的恶意代码,由e语言编写,整体运行过程如下:

(1)样本运行后,创建名为:kongxin1123的互斥量防止恶意代码多次运行,之后通过遍历固定字符串的方式找到内置的HPSocket4C库文件,该库一个网络通信库,加载到内存进行注册。恶意代码把处理ddos的函数和上线函数注册到此库中,进行回调。

(2)连接c2地址,连接成功后,把收集的信息“上线||[电脑名]”发送到c2服务器,之后在闭循环中等待接受命令数据。

(3)如果存在命令数据,回调DDoS处理函数进行处理,当前存在的攻击命令:POST、GET、TCP3种攻击,恶意代码对接受的攻击命令进行字段验证,保证每个攻击存在对应的字段,之后使用同目录下的ddos攻击程序:Nidispla2.exe,把攻击数据通过参数的方式传入到此文件,执行ddos攻击。

DDoS攻击程序可以通过不同的方式发送DDoS攻击,并且可以使用不同的UA头进行攻击。

(1)POST模式攻击指令,如下图所示:

图1 Post模式攻击

(2)GET模式攻击指令,如下图所示:

图2 GET模式攻击

(3)TCP模式攻击指令,如下图所示:

图3 TCP模式攻击

(4)可以使用不同的UA头进行攻击,如下图所示:

图4 不同的UA头进行攻击

(二)传播方式分析

通过关联分析发现,该BlackMoon僵尸网络传播方式之一是借助独狼(Rovnix)僵尸网络进行传播。独狼僵尸网络通过带毒激活工具(暴风激活、小马激活、 KMS等)进行传播,常被用来推广病毒和流氓软件。

图5 独狼配置文件

二 僵尸网络感染规模

通过监测分析发现,2022年1月15日至2月22日BlackMoon僵尸网络日上线肉鸡数最高达到21万台,累计感染肉鸡数达到237万,几乎均为境内主机。每日上线肉鸡数情况如下。

图6 每日上线肉鸡数

BlackMoon僵尸网络位于境内肉鸡按省份统计,排名前三位的分别为广东省(12.7%)、河南省(9.3%)和江苏省(7.6%);按运营商统计,电信占57.5%,联通占22.9%,移动占19.4%。

图7 境内肉鸡按省份和运营商分布

三 防范建议

请广大网民强化风险意识,加强安全防范,避免不必要的经济损失,主要建议包括:1、不要点击来源不明邮件。2、不要打开来源不可靠网站。3、不要安装来源不明软件。4、不要插拔来历不明的存储介质。

当发现主机感染僵尸木马程序后,立即核实主机受控情况和入侵途径,并对受害主机进行清理。

四 相关IOC

样本MD5:

22E46CBCF02D78390D257AEE0FE26EDE

65982DEB6AC30B9F1F4DAB1AA26A0D0E

93EB67FDB2D0C767887C6F6284844386

C4A73F3BBDD1E64EF146A232967B1BC5

F73436646F905504027809A461D0A8D9 

63EC62319605B43D68EB25B9F84153C8

下载链接:

www2.xiaoniu321.com:9002/jin/1/Yic.exe

www2.xiaoniu321.com:9002/jin/nby.exe

www2.xiaoniu321.com:9002/jin/1/Nidispla2.exe

www2.xiaoniu321.com:9002/q1/Nidispla2.exe

www2.xiaoniu321.com:9002/q1/yy1.exe

www2.xiaoniu321.com:9002/1vv/Nidispla2.exe

www2.xiaoniu321.com:9002/1vv/ii7.exe

www2.xiaoniu321.com:9002/jin/Nidispla2.exe

www2.xiaoniu321.com:9002/2vv/ii8.exe

www2.xiaoniu321.com:9002/2vv/Nidispla2.exe

控制域名:

ww1.m27p.com

ww1.jincpay.com

222.xiaoniu321.com

xiaoniu321.com

111.xiaoniu321.com

僵尸网络
本作品采用《CC 协议》,转载必须注明作者和本文链接
僵尸网络活动激增 企业应做好对抗DDoS攻击准备
2024-01-17 08:21:21
安全研究人员发现,在2023年12月至2024年1月的第一周期间,全球僵尸网络活动显着增加,观察到的峰值超过100万台设备。此前每天平均约有10000台设备处于活跃状态,去年12月初,其数量飙升到35000台以上,12月末突破超10万水平,今年1月初同样处于高位水平。研究人员强调称,强大的DDoS防护是企业对抗这些新僵尸网络威胁的必备条件。
僵尸网络正通过阿里云、AWS、Docker进行挖矿
2022-04-24 07:25:27
据悉,跨平台加密货币挖掘僵尸网络LemonDuck正在针对开源应用容器引擎Docker,以在Linux系统上挖掘加密货币。
僵尸网络Kraken轻松骗过Windows Defender并窃取加密货币钱包数据
2022-02-20 13:47:42
微软最近对Windows Defender的排除权限进行了更新,没有管理员权限就无法查看排除的文件夹和文件。这是一个重要的变化,因为威胁者往往会利用这一信息在这种被排除的目录中提供恶意软件的载荷,以绕过防御者的扫描。
僵尸网络常见攻击方式盘点,预防与阻止最关键
2021-12-21 19:40:15
一文get僵尸网络的常见攻击方式、防范方法
僵尸网络是如何应对执法行动的?
2021-12-08 07:00:21
僵尸网络目前已经成为了一个大问题,有多种方式可以清除僵尸网络,如渗透攻入攻击基础设施、ISP 强制下线恶意服务器、DNS 水坑、扣押相关数字资产、逮捕犯罪分子等。清除僵尸网络的核心问题在于:如果僵尸网络没有被完全清除或者其运营人员没有被逮捕起诉,运营人员可能很容易就恢复运营并使其更难以铲除。
僵尸网络DDoS攻击高达2200万RPS
2021-09-15 21:35:04
上个月,强大僵尸网络“新秀”发起一系列基于每秒请求数的超大型分布式拒绝服务(DDoS)攻击,以“一展身手”的方式显示自身实力。该僵尸网络被命名为Mēris(拉脱维亚语中意为“瘟疫”),是截至目前最大型应用层DDoS攻击的背后黑手,在一周前的攻击中曾达到过2180万请求每秒(RPS)的峰值。
僵尸网络对互联网进行大规模扫描以寻找不安全的 ENV 文件
2020-11-23 11:39:04
威胁者正在寻找通常存储在ENV文件中的API令牌,密码和数据库登录名。由于它们保存的数据的性质,ENV文件应始终存储在受保护的文件夹中。超过2800个不同的IP地址已经被用来扫描ENV文件,在过去的三年中,有超过1100台扫描仪是活跃在过去一个月内,据安全厂商Greynoise。建议开发人员进行测试,看看他们的应用程序的ENV文件是否可以在线访问,然后保护任何意外暴露的ENV文件。
InfectedSlurs 僵尸网络针对 QNAP VioStor NVR 漏洞
2023-12-19 11:13:37
基于 Mirai 的僵尸网络 InfectedSlurs 被发现主动利用两个零日漏洞针对 QNAP VioStor NVR(网络录像机)设备。研究人员于 2023 年 10 月发现了该僵尸网络,但他们认为该僵尸网络至少从 2022 年起就一直活跃。专家们向各自的供应商报告了这两个漏洞,但他们计划在 2023 年 12 月发布修复程序。
新的 P2PInfect 僵尸网络 MIPS 变体瞄准路由器和物联网设备
2023-12-05 11:22:35
网络安全研究人员发现了一种名为P2PInfect的新兴僵尸网络的新变种,它能够针对路由器和物联网设备。
VSole
网络安全专家