腾讯安全反病毒实验室:捕获多起Ramnit僵尸网络家族的DDoS攻击

0x1 概况

近期,腾讯安全反病毒实验室和腾讯云安全团队感知到多起DDoS攻击事件,攻击目标包括为金融、婚恋、博彩等类型的网站,研究发现这几起攻击来自于同一僵尸网络。

目前该僵尸网络已感染机器数达到数万台,而传播源就是Ramnit家族。Ramnit初始形态为蠕虫病毒,通过自繁殖策略得到迅速传播,感染计算机的exe、dll、html、htm、vbs文件,新变种通过捆绑在未知来源的软件或植入到受害网站的工具包中进行传播,受感染机器组成僵尸网络,对网络上的目标发起DDoS攻击。

受影响网站:

0x2 攻击、溯源过程及详细分析

1. 攻击过程

2. 溯源过程

3. 详细分析

木马启动后,会检测是否被感染过,如果已经被感染过,则直接启动木马注册的服务程序。

新感染的机器会检测自身是否运行在windows目录下,如果不在,则拷贝自身到系统目录,文件名为6个随机小写字符:

拷贝到system32目录后,注册服务程序,服务名为Winhelp32。

服务入口处,即创建一个线程,负责接收命令。

线程入口处解析C2服务器地址以及端口,域名:www.m**r.xyz 端口:7555

远控服务器解析后,开始搜集计算机信息,包括操作系统版本,处理器个数,处理器容量,远程桌面端口。

该木马目前可接受服务器发来的5个命令。

CMD_DOWNLOAD_RUN_EXE:

目前监控到该木马下载过的链接,目前链接已经失效。

CMD_ADD_USER:

为了后续远程3389登录,木马会在本地添加一个账户。

CMD_DDOS:

接收到DDoS攻击命令后,木马循环连接被攻击目标网站,并发送攻击包。

该木马同时会检测金盾防火墙以及服务器安全狗,并试图绕过其防护:

CMD_UNINSTAL命令:

0x3 攻击者溯源

根据域名信息,查询到攻击者的一些基本信息。

通过管理员邮箱查到攻击者QQ,昵称和域名对应,确认这个就是攻击者QQ。

同时也发现该邮箱注册了支付宝,真实名是*华胜。

也发现攻击者曾在某论坛共享SS-R服务,表示害怕成为DDoS受害者,而他真实身份竟然是攻击者。

0x4 安全建议

用户可通过查看windows服务确认是否中招:一旦发现 winhelp32 服务在运行,则很可能已经感染了僵尸网络。此外,使用腾讯电脑管家可以实时拦截该木马。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-10-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏晨星先生的自留地

大华摄像头backdoor,漏洞?

5373
来自专栏FreeBuf

俄罗斯400多家工业企业遭遇网络钓鱼攻击

卡巴斯基实验室(Kaspersky Lab)ICS CERT发现了一系列带有恶意附件的网络钓鱼电子邮件,主要针对的是与工业生产相关的企业和机构。网络钓鱼电子邮件...

1114
来自专栏沈唁志

手机QQ7.5.5坦白说功能已开放一键查询发送人QQ号

3131
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–凭证分割(165)-2业务处理

在线拆分随新增的总帐会计一起提供。通过参考科目分配对象拆分原始过帐来使用附加科目分配对象增强凭证或完成附加过帐。可实时完成过帐(在线)。

2415
来自专栏伪君子的梦呓

安装国外版Adobe Flash Player

使用 TIM 或在线看电影的时候需用到 Flash Player ,拿版本 30.0.0.134 做实验,这个版本是国内下载版本,在控制面板找到卸载程序里可以看...

4.7K2
来自专栏张戈的专栏

WordPress给文章添加百度是否已收录查询和显示功能(自定义栏目优化版)

文章页面显示百度是否收录这个功能在张戈博客已经测试有一段时间了。最开始的代码也是从网络上找的,只是自己用,所以也就没想着分享了,毕竟是人家的成果,而且自行百度也...

3263
来自专栏沈唁志

整合ThinkPHP功能系列之使用聚合数据查询快递物流数据

聚合数据的快递类接口价格还是比较实惠的,而且在去年的时候受菜鸟顺丰互撕影响,聚合数据快递类接口接入量猛增

1803
来自专栏FreeBuf

流氓会武功 | 这款勒索软件不仅能勒索,还能DDoS

一款名为 FireCrypt 的勒索软件正悄然来袭。它不仅具备一般勒索软件的特性,会将受感染的系统文件恶意加密。还会试图利用受感染者机器,向其源码中硬编码的 U...

2565
来自专栏SAP最佳业务实践

SAP最佳业务实践:ETO–报价处理(232)-11根据客户新规范更改配置

image.png VA22根据客户新规范更改配置 向客户发送报价后,客户通知您他所需的更改。潜在客户需要的最终产品的数量有变化。 角色销售助理 后勤 ®销售和...

3617
来自专栏Seebug漏洞平台

BlackOasis APT 和利用 0day 漏洞的新目标攻击

原文地址:https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-z...

3235

扫码关注云+社区

领取腾讯云代金券