DorkBot殭屍網路近期活躍情況報告
背景介紹
DorkBot是一個臭名昭著的殭屍網路,使用的攻擊手段包括後門植入,密碼竊取等惡意行為。傳播方式也各式各樣,包括移動U盤、即時通訊軟體、社交網路、電子郵件等。主要攻擊目的就是盜取使用者密碼,以及各種能夠識別個人身份的資訊。
去年7月,深信服安全團隊在應急響應工作中發現DorkBot的一個變種。近幾個月,通過深信服安全雲腦的監控資料發現Dorkbot又開始活躍。下圖可以看到該殭屍網路的活躍指數逐月升高。殭屍網路一般都是作為網路攻擊的載體,勒索軟體、挖礦木馬等很多惡意軟體目前都通過殭屍網路分發。
從感染位置來看,東南沿海、京津冀和西南地區受災較為嚴重。其中廣東省、山東省、山西省分列感染量前三,出人意料的是青海感染量位居第五。分佈如下圖所示:
從感染行業來看,政府、教育部門和企業為主要攻擊目標。
在國內各省份和地區中,廣東省感染量最大。其中企業、政府和教育部門受害嚴重,也基本上與國內整體感染行業的分佈較為類似。由此可見,相關行業亟需加強對網路攻擊的防禦。
樣本分析
病毒流程
反檢測技術
檔案用了多層payload解密的技術,用於躲避安全軟體檢測和干擾除錯,最後解密出一個完整的PE檔案,包含核心惡意程式碼。
通過字串終止下列安全軟體程式:
norton、antivirus、symantec、mcafee、eset、avg、avast、avira、kaspersky、checkpoint、grisoft、antivir、bitdefender、windows defender、unlocker、sandboxie、windowsupdate、alwil、avpersonal、sophos、virus、f-secure、trend、ccleaner、malware、norton、internet security、drweb、spyware
注入技術
建立一個同名程式,將解密的PE檔案注入程式。
核心程式碼中所使用的API都通過動態獲取函式地址,並且關鍵字串都需要解密使用。
建立calc.exe程式進行注入。
建立svchost.exe程式進行注入。
結束已有的notepad.exe程式,建立新的notepad.exe程式進行注入。
傳播模組
該病毒通過U盤進行傳播,會建立一個視窗用於監聽USB的插入。
當有U盤插入後,會檢測是否已存在感染的檔案,進行刪除,重新感染,並設定檔案屬性為隱藏。
持久化模組
拷貝自身到"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Adobe\Reader_sl.exe",並新增到登錄檔自啟動。
網路模組
在calc.exe程式中解密如下url下載檔案到受害主機的temp目錄:
http://api.wipmania.com.selfmg.ru/api.gif
http://api.wipmania.com.lotus5.ru/api.gif
http://api.wipmania.com.wipmania.ru/LkwAxD.gif
http://api.wipmania.com.lotys.ru/vJoJAi.gif
http://api.wipmania.com.bwats.ru/OfjTMe.gif
http://api.wipmania.com.stcus.ru/apSPhv.gif
http://api.wipmania.com.cmoen.ru/zkmcHM.gif
http://api.wipmania.com.artbcon3.ru/frfLeC.gif
http://api.wipmania.com.yeloto.ru/zwFMwD.gif
在notepad.exe程式中解密出如下域名:
連線C&C端獲取指令。
防護建議
病毒檢測查殺
1、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測,如圖所示:
2、深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。
64位系統下載連結:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
病毒防禦
1、使用深信服安全產品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅;
2、深信服推出安全運營服務,通過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力,針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
最後,建議企業對全網進行一次安全檢查和防毒掃描,加強防護工作。推薦使用深信服安全感知+防火牆+EDR,對內網進行感知、查殺和防護。
相關文章
- Gafgyt變種——Jaws殭屍網路的分析報告
- Mykings殭屍網路仍活躍,至少已通過挖礦獲利2470萬美元
- 什麼是殭屍網路
- Incapsula:2014年度殭屍網路調查報告——資訊圖
- Mirai殭屍網路重出江湖AI
- 揭秘Neutrino殭屍網路生成器
- 怎樣有效的治理殭屍網路?
- RDP服務之GoldBrute殭屍網路Go
- 殭屍蜜網:首款具備誘捕及反探測能力的物聯網殭屍網路
- 殭屍網路XorDDoS的原理分析與清除
- P2P 殭屍網路入門
- 物聯網裝置殭屍網路趨勢分析
- 超大規模的物聯網殭屍網路:Pink
- 提高你的警惕 殭屍網路紮根網際網路(轉)
- 瞄準Windows的新興殭屍網路:KrakenWindows
- 殭屍程式
- 某殭屍網路被控端惡意樣本分析
- Mirai 殭屍網路出現了新的變種AI
- 斷劍重鑄?Kaiji殭屍網路正在重構AI
- 殭屍網路促使垃圾郵件的大幅增加(轉)
- 濫用ThinkPHP漏洞的殭屍網路Hakai和YowaiPHPAI
- 殭屍網路 Emotet 能通過相鄰 Wi-Fi 網路傳播
- 《2020挖礦木馬年度報告》:挖礦團伙勾結殭屍網路日趨多見
- 帶你瞭解殭屍網路是怎樣組成的?
- 如何有效的治理殭屍網路以此來避免遭遇DDOS?
- Mirai 殭屍網路作者與 FBI 合作而避免刑期AI
- WireX:Android智慧手機組成的DDoS殭屍網路Android
- 勒索病毒最新變種驚現!殭屍網路擴散中
- 江蘇工商局:2013年江蘇省網路交易發展情況報告
- 什麼是殭屍程式,如何找到並殺掉殭屍程式?
- fork和殭屍程式
- Linux 殭屍程式Linux
- 【系統】 殭屍程式
- 殺死殭屍程式
- linux系統活動情況報告-sarLinux
- 小五近期學習情況彙報(9月5到22日)薦
- Muhstik殭屍網路木馬來襲,挖礦、攻擊兩不誤
- 什麼是殭屍網路攻擊?安全專業人員指南