查看: 2797|回复: 6
收起左侧

[技术原创] 腾讯安全反病毒实验室:捕获多起Ramnit僵尸网络家族的DDoS攻击

[复制链接]
腾讯电脑管家
发表于 2017-10-11 16:49:33 | 显示全部楼层 |阅读模式
0x1:概况
近期,腾讯安全反病毒实验室和腾讯云安全团队感知到多起DDoS攻击事件,攻击目标包括为金融、婚恋、博彩等类型的网站,研究发现这几起攻击来自于同一僵尸网络,目前该僵尸网络已感染机器数达到数万台,而传播源就是Ramnit家族,Ramnit初始形态为蠕虫病毒,通过自繁殖策略得到迅速传播,感染计算机的exe、dll、html、htm、vbs文件,新变种通过捆绑在未知来源的软件或植入到受害网站的工具包中进行传播,受感染机器组成僵尸网络,对网络上的目标发起DDoS攻击。
受影响网站:



0x2:攻击、溯源过程及详细分析

1.攻击过程

2.溯源过程
3.详细分析
木马启动后,会检测是否被感染过,如果已经被感染过,则直接启动木马注册的服务程序。


新感染的机器会检测自身是否运行在windows目录下,如果不在,则拷贝自身到系统目录,文件名为6个随机小写字符:

拷贝到system32目录后,注册服务程序,服务名为Winhelp32。

服务入口处,即创建一个线程,负责接收命令。

线程入口处解析C2服务器地址以及端口,域名:www.m****r.xyz 端口:7555
远控服务器解析后,开始搜集计算机信息,包括操作系统版本,处理器个数,处理器容量,远程桌面端口。

该木马目前可接受服务器发来的5个命令。

CMD_DOWNLOAD_RUN_EXE:

目前监控到该木马下载过的链接,目前链接已经失效。
CMD_ADD_USER:

为了后续远程3389登录,木马会在本地添加一个账户。
CMD_DDOS:

接收到DDoS攻击命令后,木马循环连接被攻击目标网站,并发送攻击包。

该木马同时会检测金盾防火墙以及服务器安全狗,并试图绕过其防护:
CMD_UNINSTAL命令:
   



0x3:攻击者溯源

根据域名信息,查询到攻击者的一些基本信息。

通过管理员邮箱查到攻击者QQ,昵称和域名对应,确认这个就是攻击者QQ。

同时也发现该邮箱注册了支付宝,真实名是*华胜。

也发现攻击者曾在某论坛共享SS-R服务,表示害怕成为DDoS受害者,而他真实身份竟然是攻击者。


0x4:安全建议

用户可通过查看windows服务确认是否中招:一旦发现winhelp32服务在运行,则很可能已经感染了僵尸网络。此外,使用腾讯电脑管家可以实时拦截该木马。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
猥琐大叔
发表于 2017-10-11 17:10:58 | 显示全部楼层
支持一下!请问新引擎啥时候上场、?
杰伦J时代
发表于 2017-10-11 19:19:12 | 显示全部楼层
猥琐大叔 发表于 2017-10-11 17:10
支持一下!请问新引擎啥时候上场、?

难道有大更新啊?
猥琐大叔
发表于 2017-10-12 10:14:40 | 显示全部楼层

应该是  不知道年底能不能登场
I76700K
发表于 2017-10-12 15:58:08 | 显示全部楼层
支持一下!同问是不是有新引擎?
大明湖畔的乾隆
发表于 2017-10-12 18:31:47 | 显示全部楼层
管家还有大版本更新?国产现在不是全部注重娱乐和广告么?
Yannis
发表于 2017-10-17 19:56:12 | 显示全部楼层
现在用的是英文OEM.对面这种上进的行为。我灰常支持,加油~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-4 01:47 , Processed in 0.127881 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表