<ruby id="tw7ea"></ruby>
  • <tbody id="tw7ea"></tbody>
    1. <tbody id="tw7ea"><pre id="tw7ea"></pre></tbody>

        1. BlackMoon僵尸網絡江蘇省內大規模傳播的風險提示

          2022年03月18日

          一、概述

          近期,國家互聯網應急中心(CNCERT)監測發現BlackMoon僵尸網絡在我國互聯網進行大規模傳播,國家互聯網應急中心江蘇分中心(JSCERT)通過跟蹤監測發現該僵尸網絡2月省內控制規模(以IP數計算)已超過10萬,日上線肉雞數最高達16865臺,給我省網絡空間帶來較大威脅。

          二、樣本分析

          (一)分析介紹

          該僵尸網絡大規模傳播的樣本涉及10個下載鏈接、6個惡意樣本(詳情見第五節相關IOC),樣本分為兩類:一類用于連接C2,接受控制命令的解析程序,包括Yic.exe、nby.exe、yy1.exe、ii7.exe、ii8.exe、sTup.exe;另一類為執行DDoS攻擊的程序,為Nidispla2.exe。該僵尸網絡樣本功能不復雜,僅發現DDoS功能,截至目前攻擊目標均為一個IP,且未發現針對該IP的明顯攻擊流量,因此初步懷疑該僵尸網絡還在測試過程中。接受控制指令的惡意代碼,由e語言編寫。

          (二)詳細分析

          樣本運行后,創建名為:kongxin1123的互斥量防止惡意代碼多次運行,之后通過遍歷固定字符串的方式找到內置的HPSocket4C庫文件,該庫一個網絡通信庫,加載到內存進行注冊。


          (三)DDoS攻擊模式

          1.Post模式攻擊指令:

          2.GET模式攻擊指令:

          3.TCP模式攻擊指令:

          4.設置Ling_同步消息回復:

          5.Ling_同步消息:

          6.停止攻擊指令等命令:

           

          (四)傳播方式分析

          通過關聯分析發現,該BlackMoon僵尸網絡傳播方式之一是借助獨狼(Rovnix)僵尸網絡進行傳播。獨狼僵尸網絡通過帶毒激活工具(暴風激活、小馬激活、KMS等)進行傳播,常被用來推廣病毒和流氓軟件。


          三、僵尸網絡江蘇省內感染規模

          通過監測分析發現,2022年2月1日至2月28日BlackMoon僵尸網絡省內日上線肉雞數最高達到16865臺,省內累計感染肉雞數達到104074臺,每日上線肉雞數情況如下圖所示:

           

          13c5a68a81ccbdce1c963aa832ed4724.png


          通過監測分析發現,2022年2月1日至2月28日省內IP涉及BlackMoon僵尸網絡惡意通信最高達到240013次,累計惡意通信達到1735587次,BlackMoon僵尸網絡惡意通信按日統計情況如下圖所示:

           

          2741560f70015bea81b59c6c71267f3f.png


          BlackMoon僵尸網絡省內肉雞按地市統計(以IP數計算),排名前三位的分別為蘇州市(21386臺,20.57%)、南京市(16074,15.46%)和徐州市(11644,11.20%);

           

          365b94558284d9c05b6d96f5c46a013d.png


          按運營商統計,電信75836臺,占比72.87%;移動25233臺,占比24.25%,聯通3002臺,占比2.88%。

           

          cb27cfc87e37c03cc149c0badea37a7d.png


          四、防范建議

          請廣大網民強化風險意識,加強安全防范,避免不必要的經濟損失,主要建議包括:

          1、不要點擊來源不明郵件。

          2、不要打開來源不可靠網站。

          3、不要安裝來源不明軟件。

          4、不要插拔來歷不明的存儲介質。

          當發現主機感染僵尸木馬程序后,立即核實主機受控情況和入侵途徑,并對受害主機進行清理。


          江蘇國駿信息科技有限公司 蘇ICP備17037372號-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com          
          99精品在线播放观看|国产自产在线最新|日本有码aⅴ中文字幕|精品日韩A级毛片精品
          <ruby id="tw7ea"></ruby>
        2. <tbody id="tw7ea"></tbody>
          1. <tbody id="tw7ea"><pre id="tw7ea"></pre></tbody>