2022年03月18日
一、概述
近期,国家互联网应急中心(CNCERT)监测发现BlackMoon僵尸网络在我国互联网进行大规模传播,国家互联网应急中心江苏分中心(JSCERT)通过跟踪监测发现该僵尸网络2月省内控制规模(以IP数计算)已超过10万,日上线肉鸡数最高达16865台,给我省网络空间带来较大威胁。
二、样本分析
(一)分析介绍
该僵尸网络大规模传播的样本涉及10个下载链接、6个恶意样本(详情见第五节相关IOC),样本分为两类:一类用于连接C2,接受控制命令的解析程序,包括Yic.exe、nby.exe、yy1.exe、ii7.exe、ii8.exe、sTup.exe;另一类为执行DDoS攻击的程序,为Nidispla2.exe。该僵尸网络样本功能不复杂,仅发现DDoS功能,截至目前攻击目标均为一个IP,且未发现针对该IP的明显攻击流量,因此初步怀疑该僵尸网络还在测试过程中。接受控制指令的恶意代码,由e语言编写。
(二)详细分析
样本运行后,创建名为:kongxin1123的互斥量防止恶意代码多次运行,之后通过遍历固定字符串的方式找到内置的HPSocket4C库文件,该库一个网络通信库,加载到内存进行注册。
(三)DDoS攻击模式
1.Post模式攻击指令:
2.GET模式攻击指令:
3.TCP模式攻击指令:
4.设置Ling_同步消息回复:
5.Ling_同步消息:
6.停止攻击指令等命令:
(四)传播方式分析
通过关联分析发现,该BlackMoon僵尸网络传播方式之一是借助独狼(Rovnix)僵尸网络进行传播。独狼僵尸网络通过带毒激活工具(暴风激活、小马激活、KMS等)进行传播,常被用来推广病毒和流氓软件。
三、僵尸网络江苏省内感染规模
通过监测分析发现,2022年2月1日至2月28日BlackMoon僵尸网络省内日上线肉鸡数最高达到16865台,省内累计感染肉鸡数达到104074台,每日上线肉鸡数情况如下图所示:
通过监测分析发现,2022年2月1日至2月28日省内IP涉及BlackMoon僵尸网络恶意通信最高达到240013次,累计恶意通信达到1735587次,BlackMoon僵尸网络恶意通信按日统计情况如下图所示:
BlackMoon僵尸网络省内肉鸡按地市统计(以IP数计算),排名前三位的分别为苏州市(21386台,20.57%)、南京市(16074,15.46%)和徐州市(11644,11.20%);
按运营商统计,电信75836台,占比72.87%;移动25233台,占比24.25%,联通3002台,占比2.88%。
四、防范建议
请广大网民强化风险意识,加强安全防范,避免不必要的经济损失,主要建议包括:
1、不要点击来源不明邮件。
2、不要打开来源不可靠网站。
3、不要安装来源不明软件。
4、不要插拔来历不明的存储介质。
当发现主机感染僵尸木马程序后,立即核实主机受控情况和入侵途径,并对受害主机进行清理。