专栏首页FreeBuf腾讯安全反病毒实验室:捕获多起Ramnit僵尸网络家族的DDoS攻击

腾讯安全反病毒实验室:捕获多起Ramnit僵尸网络家族的DDoS攻击

0x1 概况

近期,腾讯安全反病毒实验室和腾讯云安全团队感知到多起DDoS攻击事件,攻击目标包括为金融、婚恋、博彩等类型的网站,研究发现这几起攻击来自于同一僵尸网络。

目前该僵尸网络已感染机器数达到数万台,而传播源就是Ramnit家族。Ramnit初始形态为蠕虫病毒,通过自繁殖策略得到迅速传播,感染计算机的exe、dll、html、htm、vbs文件,新变种通过捆绑在未知来源的软件或植入到受害网站的工具包中进行传播,受感染机器组成僵尸网络,对网络上的目标发起DDoS攻击。

受影响网站:

0x2 攻击、溯源过程及详细分析

1. 攻击过程

2. 溯源过程

3. 详细分析

木马启动后,会检测是否被感染过,如果已经被感染过,则直接启动木马注册的服务程序。

新感染的机器会检测自身是否运行在windows目录下,如果不在,则拷贝自身到系统目录,文件名为6个随机小写字符:

拷贝到system32目录后,注册服务程序,服务名为Winhelp32。

服务入口处,即创建一个线程,负责接收命令。

线程入口处解析C2服务器地址以及端口,域名:www.m**r.xyz 端口:7555

远控服务器解析后,开始搜集计算机信息,包括操作系统版本,处理器个数,处理器容量,远程桌面端口。

该木马目前可接受服务器发来的5个命令。

CMD_DOWNLOAD_RUN_EXE:

目前监控到该木马下载过的链接,目前链接已经失效。

CMD_ADD_USER:

为了后续远程3389登录,木马会在本地添加一个账户。

CMD_DDOS:

接收到DDoS攻击命令后,木马循环连接被攻击目标网站,并发送攻击包。

该木马同时会检测金盾防火墙以及服务器安全狗,并试图绕过其防护:

CMD_UNINSTAL命令:

0x3 攻击者溯源

根据域名信息,查询到攻击者的一些基本信息。

通过管理员邮箱查到攻击者QQ,昵称和域名对应,确认这个就是攻击者QQ。

同时也发现该邮箱注册了支付宝,真实名是*华胜。

也发现攻击者曾在某论坛共享SS-R服务,表示害怕成为DDoS受害者,而他真实身份竟然是攻击者。

0x4 安全建议

用户可通过查看windows服务确认是否中招:一旦发现 winhelp32 服务在运行,则很可能已经感染了僵尸网络。此外,使用腾讯电脑管家可以实时拦截该木马。

本文分享自微信公众号 - FreeBuf(freebuf),作者:腾讯电脑管家

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-10-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 关于2020年的安全预测

    没有什么比做预测更难的了,研究人员根据过去12个月所发生的事情,安全领域专家的知识和对APT攻击的观察研究,对未来做出如下预测。

    FB客服
  • 南海网络谍影 | F-Secure报告之木马NanHaiShu分析

    声明:本文为F-Secure报告翻译,文中及的观点立场不代表本网站观点立场。 ? 1. 前言 本报告描述了我们发现并命名的木马-NanHaiShu(NanH...

    FB客服
  • 云计算的下半场,安全成为必争之地

    十多年的时间可以发生什么?2006年亚马逊AWS率先试水云计算这一伟大的商业模式,现如今其全球市场规模已经高达数千亿美金。计算科学正在经历一场革命,在云计算发展...

    FB客服
  • 日本字处理软件ichiaro被发现存在0day漏洞

    日本最流行的字处理软件ichiaro和多产品爆出远程执行代码的0day。根据CVE-2013-5990的漏洞描述,恶意攻击者可以获得系统权限,等同于本地账户权限...

    安恒信息
  • 两会聚焦 | 两会时间到!代表委员们这样说文旅

    ? 在刚刚结束的第十三届全国人大二次会议上,政府工作报告明确提到:发展壮大旅游业。 除此之外,政府工作报告中还提到诸多与旅游业相关的内容,例如,加强文物保护利...

    腾讯文旅
  • 币聪科技:ChainLink行情分析:一周涨幅21%,K线三角形突破能否再创新高?

    ChainLink的价格从6月29日的最低点回升了99%,目前交易价格为0.165美元至0.332美元。

    币聪财经
  • C++ this 指针

    在 C++ 中,每一个对象都能通过 this 指针来访问自己的地址。this 指针是所有成员函数的隐含参数。因此,在成员函数内部,它可以用来指向调用对象。

    于小勇
  • “互联网+旅游”深度融合 需解决哪些问题?

    ? 近日,第六届世界互联网大会在浙江省桐乡市乌镇举行,大会在发布全球互联网领先科技成果的同时聚焦产业互联网领域热点问题,并预示其未来发展走向。 近年来,人工智...

    腾讯文旅
  • 国内“双枪”僵尸网络利用百度贴吧图像进行分发

    玩个游戏也能被黑客盯上?电脑设备一不小心就沦为“肉鸡”。僵尸网络潜藏在人们的日常生活中,表面看似波澜不惊,实则暗潮涌动。

    FB客服
  • PHP 7 中的新操作符:<=> 和 ??

    太空飞船操作符在比较变量时非常有用,这里说的变量包括数值(字符串型、整型、浮点型等)、数组、对象。这个操作符将三个比较符号(==、<、>)打包在了一起,可以用于...

    博文视点Broadview

扫码关注云+社区

领取腾讯云代金券