重磅 | “暗云Ⅲ”APT检测分析报告解读

1.概述

近期,一款名为“暗云Ⅲ”的木马程序正在互联网上大量传播,小心你的电脑成为“肉鸡”。国家互联网应急中心(CNCERT)监测发现,该木马已感染主机超过162万台,其中我国境内主机占比高达99.9%,对我国互联网安全构成一定的威胁。

“暗云”系列木马程序通过一系列复杂技术潜伏于用户电脑中,具有隐蔽性较高、软硬件全面兼容、传播性较强、难以清除等特点,且最新的变种“暗云Ⅲ”木马程序可在每次用户开机时从云端服务器下载并更新其功能模块,可灵活变换攻击行为。

2.样本分析

2.1. 样本基本信息

根据安恒APT沙箱分析“暗云Ⅲ”主要包含两个样本,主样本和释放子样本。

1. 主样本基本信息

文件名称:9377_hyaz2a3_b103.exe

文件大小:1502KB(1538280bytes)

文件类型:PE32可执行文件(GUI)Intel 80386,用于MS Windows,Nullsoft Installer自解压存档

2. 子样本基本信息

文件名称:weblander.exe

文件大小:1630KB(1669784bytes)

文件类型:MS-DOS可执行文件,MZ for MS-DOS

开始时间:2017-06-13 11:13:16

2.2. 主要行为分析

“暗云Ⅲ”病毒通过下载站大规模传播,并通过感染磁盘MBR实现开机启动,主要行为包含收集电脑网卡信息、读取远程服务器文件、自删除、写入自启动注册表、增加自启动、系统配置信息收集、创建网络套接字连接、进行的HTTP数据请求、下载远程文件并执行等行为。

2.3. 主要运行流程

“暗云Ⅲ”病毒运行流程包含创建进程、服务、恶意行为、进程、注册表、释放恶意文件、释放文件、注入等敏感操作,主要运行流程过程图如下:

2.4. 网络反弹行为

对木马程序控制端IP地址进行分析发现,“暗云Ⅲ”木马程序控制端涉及域名和IP信息有: wvw.9377.com、c2tongji.b5156.com、client.9377.com、tj1.b5156.com、static.9377s.com、cdnsource.9377.com、121.10.141.10、183.131.192.83。

2.5. HTTP连接行为

“暗云Ⅲ”木马程序在运行过程中会打开指定HTTP链接,具体链接地址如下:

wvw.9377.com/api/client_data_receive.php?Name=9377cycs2&Channel=hyaz2a3&referer_param=b103&Version=1.0.0.2&IP=192.168.56.110&MAC=08-00-27-57-B9-08&Installtime=201

并更新起功能模块5/10/15/1:35:04&ExeName=self

2.6. 释放文件行为

“暗云Ⅲ”木马程序在运行时会释放一系列文件,其中包含各种 inetc.dll、ip.dll、System.dll、pc_game_cy2_tg[1].css、ajax[1].js、jquery.SuperSlide.2.1.1[1].js、weblander.ini、weblander.exe、赤月传说2.lnk等一系列子文件。

2.7. 子文件行为

“暗云Ⅲ”子文件同样具有高危害性,具有打开服务控制管理器、遍历文件、读取远程服务器文件等敏感行为。具体运行流程图如下:

3.总结

“暗云”系列木马程序具备流量牟利、发动分布式拒绝服务攻击(以下简称“DDoS攻击”)等能力,具有互联网黑产盈利特性。根据CNCERT监测结果可知,目前“暗云Ⅲ”木马程序控制的主机已经组成了一个超大规模的跨境僵尸网络,黑客不仅可以窃取我国百万计网民的个人隐私信息,而且一旦利用该僵尸网络发起DDoS攻击将对我国互联网稳定运行造成严重影响。

建议用户近期采取积极的安全防范措施:

一、不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件。

二、定期在不同的存储介质上备份信息系统业务和个人数据。

三、在网络中部署安恒APT攻击预警平台,及时发现传播样本和异常威胁情况,对被感染主机及时采取有效措施进行控制,遏制攻击源的传播和和感染。

- END -

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-06-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

紧急预警 | “永恒之蓝”勒索病毒爆发,安恒APT产品可检测

近日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控制,成为不法分子的比特币挖矿机(挖矿...

3046
来自专栏安恒信息

2013.9.22--9.28 病毒预报

国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现一种恶意木马程序变种Trojan_ Wapomi.A。该变种会使得受感染操作系统中的隐私信息数据、网银...

3264
来自专栏Youngxj

一个简单的ip黑名单实例

3854
来自专栏FreeBuf

Petya勒索蠕虫完全分析报告

目录 第一章 前言 第二章 Petya老样本简介 第三章 Petya新样本详细介绍 第四章 Petya勒索蠕虫感染传播趋势分析 第五章 Petya横向移动及传播...

3718
来自专栏腾讯研究院的专栏

新形势下,互联网金融发展与监管问题研究

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?...

2075
来自专栏安恒信息

如何保护计算机不被恶意软件勒索

英国国家犯罪局已经发出了国家紧急警报,1千万英国用户被Cryptolocker勒索软件瞄准,这种恶意软件限制被感染的计算机,并要求受害者支付赎金后返还控制权。 ...

3356
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–含客户预付款的销售订单处理(201)-3开票

一、VA02销售订单变更(移除开票冻结) 在此活动中,移除销售订单的开票冻结。 必须手动移除开票冻结才能处理第一个预付款请求。 后勤® 销售和分销 ® 销售® ...

5087
来自专栏黑白安全

黑客利用思科智能安装漏洞,全球 20 万台路由器躺枪

据外媒报道,一个名为“ JHT ”的黑客组织在上周五利用 Cisco(思科) CVE-2018-0171 智能安装漏洞攻击了许多国家的网络基础设施,例如俄罗斯和...

1011
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应收帐款(157)-14银行对账-帐户对帐单的重新处理

4.14 FEBA_BANK_STATEMENT帐户对帐单的重新处理 每次过帐手动帐户对帐单时,都应当重新处理银行对帐单,由于原因代码未被输入,系统无法自动成...

35911
来自专栏编程思想之路

Android6.0源码分析之录音功能(一)

Android源码录音功能说起来似乎也很简单,只不过就是一个录音的功能然后进行了一个保存的操作。为什么要研究这个呢?毕竟现 在语音通话、直播亦或者是语音助手比...

4008

扫码关注云+社区

领取腾讯云代金券