數萬臺設備已被影響！疑似DDOS團伙Blackmoon再現江湖

我的位置：

預警來源：深信服發布時間：2023-03-17

1.惡意文件描述

近期，深信服深盾終端實驗室在運營工作中發現了一款僵尸網絡病毒，通過跟蹤監測發現，該病毒近期肉雞控制規模已達 6 萬以上。

經分析，該病毒所使用的網絡資產與 DDOS 團伙 BlackMoon 的網絡資產存在重疊。該病毒已產生一次變種，但功能基本一致，均由對應 C2 下達指令對目標 IP發起 DDOS 攻擊。該攻擊占用宿主機大量資源，同時被攻擊目標也將遭受網站堵塞、服務器癱瘓等巨大威脅。

2.惡意文件分析

該僵尸網絡病毒樣本由 go 語言編寫。

在初次運行時，該樣本會通過查詢注冊表鍵值以獲取當前宿主機名稱等信息，并將在后續功能中使用到該類信息。

隨后程序通過 TCP 協議與 C2 服務器進行遠程通信。程序會將硬編碼在樣本中的域名作為 C2 地址。

與 C2 服務器建立連接之后，程序首先向 C2 服務器發送一個 “ok” 字符串，并進入預定時長等待。

若 C2 服務器接收到該請求，將會回復字符串 “1337”。該階段表示樣本成功上線，隨后病毒進入第一次循環監聽狀態，等待接受 C2 服務器下達的指令。

當 C2 發送第一輪指令時，病毒對接受的指令進行判斷，并進入對應的 DDOS 攻擊類型分支，如 post、http 等。

隨后病毒創建一個周期性計時器，在有效時間內進入第二次監聽狀態，等待 C2 服務器下發第二輪指令，包括但不限于需要攻擊的 IP 或域名。

病毒還會根據之前獲得的宿主機信息，判斷操作系統是 Windows 還是 Android、IOS，將取得的結果進行比對后，不同的操作系統執行 DDOS 攻擊時會采用不同的UA，不同的攻擊類型也會擁有不同的請求頭。

情報關聯分析

本次樣本于 2023 年 2 月 2 日發現，為變種樣本，活動最早可追溯至 2022 年 7 月。

在情報識別中，樣本下載鏈接與 DDOS 團伙 BlackMoon 團隊曾使用的網絡資產重疊，故初步判斷此次僵尸網絡事件所屬團伙可能為 BlackMoon。

原始樣本與變種樣本功能相似，不同點在于通信協議較多，且不判斷系統，下圖是原始樣本功能場景：

IOCs

B34D7ED024EC71421EAA857E98E5B2E2

57ACC280049394A4FE8581D7A29D1F6B

83DD26840EE3606A406553F82DDB66B9

4AE2CDF1BB4E2A53B40FBA1024911E10

3FF63F13497A2F8271634166B585CB7C

ddc.wuxianlequ.com

yyy.wuxianlequ.com

8.219.160.241

8.218.16.68

8.219.214.251

解決方案

處置建議

1. 避免將重要服務在外網開放，若一定要開放，需增加口令復雜度，避免使用弱口令。

2. 避免打開可疑或來歷不明的郵件，尤其是其中的鏈接和附件等，如一定要打開未知文件，請先使用殺毒軟件進行掃描。

3. 安裝信譽良好的防病毒/反間諜軟件，定期進行系統全盤掃描，并刪除檢測到的威脅，按時升級打補丁。

4. 使用官方和經過驗證的下載渠道，使用正版開發人員提供的工具/功能激活和更新產品，不建議使用非法激活工具和第三方下載器，因為它們通常用于分發惡意內容。

深信服解決方案

【深信服終端安全管理系統EDR】已支持查殺攔截此次事件使用的病毒文件，請更新軟件（如有定制請先咨詢售后再更新版本）和病毒庫至最新版本，設置相應的防護策略，獲取全方位的勒索防護；

【深信服檢測響應平臺XDR】已支持檢測該新型木馬的惡意行為，請更新軟件（如有定制請先咨詢售后再更新版本）和 IOA 規則庫、IOC 規則庫至最新版本，設置相應的檢測策略，獲取全方位的高級威脅檢測能力；

【深信服下一代防火墻AF】的安全防護規則更新至最新版本，接入深信服云平臺，"云鑒" 服務即可輕松抵御此高危風險。

【深信服安全感知管理平臺SIP】建議用戶及時更新規則庫，接入云圖，并聯動【深信服下一代防火墻AF】實現對高危風險的入侵防護。

【深信服安全托管服務MSS】以保障用戶網絡安全"持續有效"為目標，通過將用戶安全設備接入安全運營中心，依托于 XDR 安全能力平臺和 MSSP 安全服務平臺實現有效協同的 "人機共智" 模式，圍繞資產、脆弱性、威脅、事件四個要素為用戶提供 7*24H 的安全運營服務，快速擴展持續有效的安全運營能力，保障可承諾的風險管控效果。

返回預警列表