**:
ipk殭屍家族是自2023年底就開始出現並長期持續活躍在境外的ddos殭屍網路。2023年底至2023年初,ipk家族在境外處於爆發狀態(如圖1-1)。近幾個月內,安天捕風蜜罐系統監測發現ipk有向境內蔓延的跡象,後期可能會在境內爆發ipk殭屍網路。從ipk殭屍網路的通訊協議首包(openheart)明文看,有乙個預設值為「ipkserver」的協議字段(見圖1-2),因此將其命名為trojan[ddos]/win32.ipk.a。
圖1-1 ipk樣本活躍趨勢
圖1-2 openheart首包
ipk家族殭屍網路的主要功能及特點如下:
1.實現ddos攻擊;2.在樣本中控制端(下稱:c2)配置資訊以及被控端木馬(下稱:木馬)與c2之間的通訊都使用了加密演算法,且密碼可由殭屍網路操縱者自定義(預設密碼為:encpassword);
3.c2的控制節點預設監聽埠為1337,預設服務為ipkserver,預設互斥量為ipkmutex,預設備份檔案名為adoberat.exe;
4.可實現樣本更新及傳播其它木馬。
表 2-1木馬樣本基本資訊
ipk殭屍網路的傳播與擴散主要通過以下渠道:
執行ddos攻擊
ipk主要可實現6種型別的攻擊:syn flood、tcp flood、ack flood、http flood、udp flood、cc flood。
表2 協議資料
表 3攻擊型別
在安天捕風蜜罐系統對ipk家族的1000多個歷史控制節點進行了為期4個月的7*24小時不間斷監測後,捕獲到ipk家族對全球12個國家(阿根廷、德國、泰國、巴西、土耳其、加拿大、中國、厄瓜多尔、荷蘭、法國、瑞士、美國)發起的581次間接性ddos攻擊(如圖3-1),其造成了103次攻擊事件。同時還監測到攻擊者通過ipk的c2(polo.24-7.ro)橫向傳播wnlm遠控木馬(如圖3-2),可對bot進行資料資訊竊取。
圖3-1 ipk攻擊情報
表4 攻擊威脅情報top10資料
圖3-2 傳播wnlm遠控木馬
ipk家族自2023年底開始出現,歷經5年的完善,無論在傳播手法、使用範圍和功能整合方面都可稱得上是乙個相對成熟的殭屍網路家族,雖然目前並沒有在境內出現大規模爆發的狀況,但其在部分國家及地區(例如:阿根廷、巴西、德國、荷蘭、泰國等)卻廣泛存在,並且時刻威脅著網際網路的安全。因此,我們仍需提高警惕。
安天捕風蜜罐系統(英文簡稱acs)是一款部署在網路環境中用於誘騙和捕獲網路攻擊的專用裝置,可及時感知攻擊從而進行預防。其能夠捕獲攻擊工具資訊並記錄攻擊的全過程,尤其適用於感知內網威脅,感知勒索軟體、蠕蟲、入侵漫遊等威脅,既支援單機裝置部署也支援分布式部署。
安天捕風蜜罐系統的主要功能為威脅行為感知、受害主機告警、攻擊鏈還原與展示、失陷主機感知、威脅情報生產,具有高低互動結合、精準行為預警等優勢。可模擬windows、linux、多種國產作業系統等環境,支援web伺服器、資料庫伺服器、iot、特定漏洞等多種環境模擬。
構建SSH殭屍網路
每個單獨的殭屍或client都能連線上某台肉雞 以下實現了三颱主機登入一台肉雞 這三颱主機分別例項化三個不同的client物件 並加到陣列中 然後通過函式botnetcommand讀取使用者輸入的命令 並通過陣列的client物件呼叫send command函式 三颱主機並且每一台主機傳送2條命令 ...
微軟瓦解Nitol殭屍網路
微軟剛剛瓦解了nitol殭屍網路 控制了500多種不同惡意軟體變體。該軟體巨人表示這些惡意軟體秘密地嵌入在盜版windows軟體中,通過 鏈當中的脆弱節點傳播。美國維吉尼亞州東區的地區法院同意微軟通過接管3322.org這個網域名稱 以及7萬多個藏有該惡意軟體的子網域名稱瓦解nitol殭屍網路。微軟...
AgoBot 殭屍網路研究筆記(一)
由於工作需要,著手分析乙個agobot的開源的程式,一些收穫或許和大家分享 email anzijin sina.com 1 源 分以下幾塊 agobot3 source agobot 主體源 重點分析這塊的 scanner source 程式內應該包含了乙個掃瞄器模組 ddos source 實現...