恶意家族名称:
BlackMoon
威胁类型:
僵尸网络
简单描述:
BlackMoon 是一款僵尸网络,曾于 2022 年 1 月至 3 月大规模爆发。该僵尸网络能够与 C2 服务器连接,并通过C2服务器下达的指令对指定目标实行不同类型的 DDOS 攻击,导致目标可能遭受服务器瘫痪、核心数据被窃等损失。
恶意文件分析
1.恶意文件描述
近期,深信服深盾终端实验室在运营工作中发现了一款僵尸网络病毒,通过跟踪监测发现,该病毒近期肉鸡控制规模已达 6 万以上。
经分析,该病毒所使用的网络资产与 DDOS 团伙 BlackMoon 的网络资产存在重叠。该病毒已产生一次变种,但功能基本一致,均由对应 C2 下达指令对目标 IP发起 DDOS 攻击。该攻击占用宿主机大量资源,同时被攻击目标也将遭受网站堵塞、服务器瘫痪等巨大威胁。
2.恶意文件分析
该僵尸网络病毒样本由 go 语言编写。
在初次运行时,该样本会通过查询注册表键值以获取当前宿主机名称等信息,并将在后续功能中使用到该类信息。
随后程序通过 TCP 协议与 C2 服务器进行远程通信。程序会将硬编码在样本中的域名作为 C2 地址。
与 C2 服务器建立连接之后,程序首先向 C2 服务器发送一个 “ok” 字符串,并进入预定时长等待。
若 C2 服务器接收到该请求,将会回复字符串 “1337”。该阶段表示样本成功上线,随后病毒进入第一次循环监听状态,等待接受 C2 服务器下达的指令。
当 C2 发送第一轮指令时,病毒对接受的指令进行判断,并进入对应的 DDOS 攻击类型分支,如 post、http 等。
随后病毒创建一个周期性计时器,在有效时间内进入第二次监听状态,等待 C2 服务器下发第二轮指令,包括但不限于需要攻击的 IP 或域名。
病毒还会根据之前获得的宿主机信息,判断操作系统是 Windows 还是 Android、IOS,将取得的结果进行比对后,不同的操作系统执行 DDOS 攻击时会采用不同的UA,不同的攻击类型也会拥有不同的请求头。
C2 指令形式大致如下:
情报关联分析
本次样本于 2023 年 2 月 2 日发现,为变种样本,活动最早可追溯至 2022 年 7 月。
在情报识别中,样本下载链接与 DDOS 团伙 BlackMoon 团队曾使用的网络资产重叠,故初步判断此次僵尸网络事件所属团伙可能为 BlackMoon。
以下是情报的具体流程图:
原始样本与变种样本功能相似,不同点在于通信协议较多,且不判断系统,下图是原始样本功能场景:
IOCs
B34D7ED024EC71421EAA857E98E5B2E2
57ACC280049394A4FE8581D7A29D1F6B
83DD26840EE3606A406553F82DDB66B9
4AE2CDF1BB4E2A53B40FBA1024911E10
3FF63F13497A2F8271634166B585CB7C
ddc.wuxianlequ.com
yyy.wuxianlequ.com
8.219.160.241
8.218.16.68
8.219.214.251
解决方案
处置建议
1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。
2. 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。
3. 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。
4. 使用官方和经过验证的下载渠道,使用正版开发人员提供的工具/功能激活和更新产品,不建议使用非法激活工具和第三方下载器,因为它们通常用于分发恶意内容。
本文作者:Further_eye
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/196115.html