“暗黑流量”超大规模DDoS溯源分析

一、背景

近日,腾讯云鼎实验室的合作伙伴Panabit于2017年5月26日19点开始,监测到一次大面积网络攻击活动,本次活动呈现的最明显特点是参与攻击的源地址覆盖度超级广泛,几乎在全国所有省市运营商的骨干网络上均有明显活动。据Panabit公司的统计,在线内网攻击地址数百万左右。

据监测,目前攻击呈现出三个阶段:

  1. 5月26日19点全国大量真实IP地址开始攻击地址183.60.111.150,一直持续到至28日凌晨3点结束;
  2. 5月28日早晨7点左右开始攻击地址59.153.75.7,
  3. 6月9日攻击呈现多样化。

经过对攻击源机器进行分析,腾讯云云鼎实验室工程师在机器中发现暗云Ⅲ的变种(暂时命名为暗云Ⅳ),通过对流量、内存DUMP数据等内容进行分析,基本确定本次超大规模ddos攻击由“暗云”黑客团伙发起。

二、详细分析

“暗云”是一个迄今为止最复杂的木马之一,全网普查显示,感染了数以百万的计算机,暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中,关于暗云的分析详见http://slab.qq.com/news/tech/1567.html

我们在对目标机器排查中,发现了MBR中可疑rootkit,在对MBR内容进行分析,我们发现肉鸡机器的MBR与暗云MBR 中INfectedMBR 与 original MBR的相对位置相同,而且病毒均存储在3-63 的60个扇区中。

与此同时我们在对另外一台机器进行分析的时候,在MBR内容里发现ms.maimai666.com域名内容,机器启动时候会访问23.234.4.130的8064端口,这与腾讯电脑管家关于分暗云Ⅲ的木马在TDI层用udp连接访问**.maimai666.com的8064端口获取shellcode”的行为相符。进一步通过获取到肉鸡机器的流量信息,我们发现机器每隔5分钟会去访问www.acsewle.com:8877/ds/kn.html;

通过对该域名进行访问可以发现配置信息,并且存在一个db文件的下载链接。

基于域名的访问对机器的流量抓包,发现发起请求的进程为svchost.exe进程,并且确认父进程为spoolsv.exe。

进一步捕获svchost.exe的内存数据进行分析,也发现了相关域名的请求信息。

暗云木马集成了Lua引擎,自身相当于一个下载者,通过对www.acsewle.com:8877/ds/kn.html 访问下载http://www.acsewle.com:8877/ds/lcdn.db进行解析执行,实行具体的攻击行为。

通过对lcdn.db进行解密,可以发现明显的DDoS攻击功能。

暗云木马的发现和清理将进一步净化网络环境,腾讯安全团队将持续为国内互联网基础设施安全保驾护航。腾讯云主机安全应用——云镜系统和腾讯电脑管家已经可以在服务器和用户个人终端实现对该木马全面查杀。

三、相关样本及域名

相关恶意域名如下,厂商可在网关设备上进行拦截。

  1. 107190.maimai666.com
  2. 214503.maimai666.com
  3. download.maimai666.com
  4. maimai666.com
  5. ms.maimai666.com
  6. q.maimai666.com
  7. www.maimai666.com

四、参考链接

  1. “暗云”BootKit木马详细技术分析 http://www.freebuf.com/vuls/57868.html
  2. 暗云ⅡBootKit木马分析 http://www.freebuf.com/articles/system/109096.html
  3. 暗云Ⅲ BootKit 木马分析 http://tav.qq.com/index/newsDetail/265.html
  4. 暗云Ⅲ木马专杀工具http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/anyun3_killer.exe

五、致谢

本次事件响应中得到各合作伙伴的大力支持,特别感谢,排名不分先后:

  • 重庆巴南区网信办
  • 烽火台威胁情报联盟
  • Panabit
  • 立普威陆(重庆)科技有限公司
  • 哈工大网络安全响应组
  • 其他不愿意透漏名字的安全伙伴

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

潜伏17年0day漏洞被发现威胁Office全版本 1123台利盟打印机在线暴露

2017.12.22 周五 安全资讯 资讯要点 网络安全公司 FireEye 和 Dragos 于上周报道称,新型恶意软件 Triton 和 Trisis通过破...

228100
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-23银企对账-供应商付款-承兑汇票-FF67收到银行对账单

4.7.3 FF67收到银行对账单 到期解付,收到银行对账单:付款凭证 借:银行结算(中间科目)10020152 贷:银行现金10020150 进一步清帐 ...

36460
来自专栏企鹅号快讯

专门攻击工资支付系统的网络犯罪

工资支付系统因其广泛性、以及普遍较弱的安全性,成为网络犯罪首要目标。取得进入转账系统的权限后,网络罪犯可以将款项转移至自己的银行账户。 ? 这一切并不那么难。通...

21250
来自专栏区块链

“网络祸害”罄竹难书

今年上半年,WannaCry病毒将勒索病毒这个种类推上了“毒王的宝座”,成为2017公认全球影响力第一的病毒,下半年下半年比特币价格疯涨,突破2万美元一枚,让挖...

239100
来自专栏安恒信息

以“Darkhotel”为首的黑客团队利用旅馆WiFi窃取高管隐私数据

想必很多企业高管都喜欢选择有WiFi网络的旅馆居住,让移动设备处于联网状态以便于应对各 种事情。在过去四年间黑客利用旅馆的WiFi网络入侵高管电脑窃取私密数据的...

35290
来自专栏域名资讯

Sedo榜:域名happymath.com以3.5万美金交易居榜首

在最新一期的Sedo榜中,英文域名happymath.com以3.5万美金,约22.5万元的价格位居榜首。

21980
来自专栏网络安全防护

黑客成员煽动DDos攻击全球银行,多个国内银行赫然在列

对网络安全有一定了解的用户一定听说过DDoS,DDoS攻击是目前最大的网络安全威胁之一,主要是通过将巨大流量引向目标来达到压垮和瘫痪网站的目的。就在12月11号...

15400
来自专栏黑白安全

尼日利亚黑客向上海某企业发送“木马发票”,现已入侵主机 450 台

5 月 28 日,威胁情报公司微步在线对雷锋网称,他们近日发现了一个长期利用窃密木马(AgentTesla等)对制造业、航运、能源以及部分政府部门发起定向攻击,...

9720
来自专栏贾老师の博客

商户微信支付能力梳理

34940
来自专栏域名资讯

陆金所估值200亿 启用千万域名

IFR消息,陆金所计划2018年上半年在香港首次公开募股,融资规模30-50亿美元。陆金所的域名用的是极品单拼lu.com,传闻价值不低于8位数。据悉,早年陆金...

12300

扫码关注云+社区

领取腾讯云代金券