47期報(bào)告匯總
安天發(fā)布《DDOS攻擊之鬼影DDOS家族分析》
近日,安天追影小組發(fā)現(xiàn)了大量的鬼影DDOS家族變種,并在進(jìn)行網(wǎng)絡(luò)通信流量監(jiān)控時(shí)發(fā)現(xiàn),異常通信行為中占比最大的正是鬼影DDOS家族,安天追影小組隨即對(duì)其進(jìn)行了分析。
樣本分析
1.
樣本運(yùn)行后會(huì)在系統(tǒng)目錄下釋放以6為隨機(jī)字符為名稱的PE文件,并創(chuàng)建該名稱的進(jìn)程,還會(huì)為其創(chuàng)建特定服務(wù)名稱的服務(wù)項(xiàng),以完成自身自啟動(dòng)的目的。
2.
創(chuàng)建互斥量,互斥量大多情況與服務(wù)名相同。
3.釋放名稱為hra33.dll或gei33.dll的文件,同時(shí)在所有系統(tǒng)應(yīng)用程序目錄下釋放其復(fù)制體,名稱為lpk.dll,用以劫持系統(tǒng)lpk.dll文件。
4.有些變種還會(huì)開啟線程對(duì)局域網(wǎng)的主機(jī)進(jìn)行弱密碼猜解,猜解成功后會(huì)直接自復(fù)制到目標(biāo)主機(jī)的共享目錄中(admin$\C$\D$\E$\F$),然后去感染局域網(wǎng)其他用戶。
5.一些變種也會(huì)使用到Rootkit、不死進(jìn)程等方式存活。
6.完成感染主機(jī)后,樣本就會(huì)開啟線程與C2進(jìn)行通信,并根據(jù)接收的命令進(jìn)行相關(guān)的操作。
解決方案
1.查看進(jìn)程列表和系統(tǒng)目錄C:\Windows\System32或C:\Windows目錄下,是否有隨機(jī)以6為字符為名稱的進(jìn)程和文件。關(guān)閉進(jìn)程,刪除文件。
2.刪除相應(yīng)的服務(wù)項(xiàng)。
3.下載系統(tǒng)lpk.dll文件,替換到C:\Windows\System32\lpk.dll,并刪除系統(tǒng)中其他所有l(wèi)pk.dll文件,及gei33.dll或hra33.dll文件。
4.由于手動(dòng)刪除較為麻煩,建議用戶更新殺毒軟件病毒庫(kù),并定期檢測(cè)。
總結(jié)
經(jīng)分析,黑客利用包括鬼影DDOS家族在內(nèi)的DDOS惡意代碼進(jìn)行攻擊時(shí),大多會(huì)采用階段性攻擊方式,一般表現(xiàn)為受害端機(jī)器暫時(shí)卡頓一段時(shí)間,使受害者認(rèn)為是網(wǎng)絡(luò)問題,而不會(huì)意識(shí)到自身機(jī)器被感染,從而增強(qiáng)了惡意代碼的生存周期。
同時(shí),DDOS攻擊對(duì)網(wǎng)絡(luò)財(cái)產(chǎn)、隱私等內(nèi)容進(jìn)行竊取,并從中獲利,在利益的驅(qū)動(dòng)下,DDOS攻擊業(yè)務(wù)必然快速滋生,對(duì)政府單位、企業(yè)、事業(yè)、個(gè)人等正常服務(wù)網(wǎng)站和其他網(wǎng)站系統(tǒng)造成巨大的威脅,對(duì)網(wǎng)絡(luò)安全環(huán)境造成極大的危害。安天建議廣大用戶加強(qiáng)網(wǎng)絡(luò)安全防護(hù)意識(shí),定期更新殺毒軟件病毒庫(kù),對(duì)此類威脅進(jìn)行檢測(cè)查殺。