本文講的是安天針對「魔鼬」木馬ddos事件分析報告,
1 概述
2023年7月30日,安天安全研究與應急處理中心(antiy cert)的工程師發現一種具備拒絕服務(ddos)攻擊能力的新型木馬。經初步分析,安天cert工程師認為該木馬屬於乙個新家族,並將其命名為「魔鼬」。通過關聯查詢安天對於ddos攻擊的歷史監測資料,發現本次事件中受攻擊的網域名稱同時也在遭受trojan/linux.billgates、trojan/linux.mayday等家族的ddos攻擊。
2 受攻擊目標
表2‑1受攻擊的網域名稱/ip對應的**
通過電信雲堤的協助分析,我們在部分網路出口提取攻擊資料,部分網域名稱訪問量抽樣統計如下:
圖2‑1對www.swerrt.cn網域名稱的訪問量
圖2‑2對win7.bdxsa.com網域名稱的訪問量
在運營商的大部分骨幹網裝置上都可以觀察到攻擊流量和c2心跳,具體感染數量有待進一步核查。
3 事件樣本分析
樣本的編譯時間為2017-07-01 21:22:54(時間戳 5957a22e),根據前面的攻擊事件發現時間,初步認為該時間是未經過篡改的,可見該木馬家族的出現時間僅有短短的1個月。
圖3‑1樣本時間戳
樣本的執行流程和主要行為如下:
1.建立互斥量保證唯一例項執行。
圖3‑2建立互斥量
2.載入資源資料,讀取指定偏移的內容作為c2位址(www.linux288.com)。
圖3‑3載入資源資料
3.連線c2伺服器,傳送本機系統資訊(包括主機名、cpu、記憶體、系統版本等),接收c2返回的攻擊目標列表。
圖3‑4接受伺服器返回資料
4.在分析中我們發現,c2返回的攻擊目標列表資料每隔一段時間會發生變化,從而控制受害主機向不同的ip或網域名稱發動攻擊。
圖3‑5伺服器返回不同的攻擊目標列表
5.接收到資料後,樣本按指定的格式解析攻擊列表資料(link_list和task_list)。
圖3‑6解析資料報內容
6.樣本根據task_list位址和配置,建立大量執行緒,向目標位址發起ddos攻擊。
圖3‑7發起ddos攻擊
4 相關事件關聯
對本次事件中的被攻擊網域名稱進行關聯查詢,發現部分網域名稱在相近時間也遭受了其他組織的ddos攻擊,詳細資訊如下:
表4‑1關聯查詢結果
部分網域名稱受攻擊的資料如下所示:
圖4‑1網域名稱win7.hangzhouhongcaib.cn的攻擊資料
圖4‑2網域名稱www.xiaomaxitong.cn的攻擊資料
圖4‑3網域名稱x1.xy1758.com的攻擊資料
5 總結
經過分析和關聯查詢,發現在相近時間內多個組織對相同目標發起ddos攻擊。從目前掌握的資料來看,本次ddos事件的攻擊強度足以癱瘓一般的**,但是部分受攻擊**採用了cdn服務,因此沒有受到嚴重影響。該木馬家族的出現時間僅有短短的1個月,卻發現較多起由該家族發起的ddos攻擊事件,說明該木馬傳播速度較快,需要引起重視。
原文發布時間為:2023年8月3日