恶意文件名称:BlackMoon
威胁类型:僵尸网络
简单描述:
BlackMoon 僵尸网络,最早出现于 2016 年,主要针对金融行业发起攻击,曾在韩国入侵超过 15 万个银行账户。该病毒主要通过感染广告软件、使用漏洞利用工具和僵尸网络进行传播,获取受害主机控制权,窃取用户信息,也能够对外发起针对性 DDOS 攻击。
恶意文件分析
1 恶意文件描述
近期,深信服终端安全团队收到大量用户反馈,称感染了一款名为 BlackMoon 的僵尸网络病毒。这款病毒正在国内大范围传播,每日新增肉鸡数目高达 20 万。该病毒主要通过感染广告软件、使用漏洞利用工具和其他僵尸网络进行传播,获取受害主机控制权,能够对外发起针对性 DDOS 攻击,严重威胁网络和资产安全。
2 技术分析
1. 程序启动后使用 “Kongxin1123” 字符串创建互斥体,防止程序重复运行。
2. 程序内部倒叙存放了一个 DLL 文件,为 HPSocket4C 的动态库,是一种高性能的网络库,该程序使用这个网络库进行网络通讯。
3. 程序获取主机名称和“上线||”字符串进行拼接,作为 C2 服务器上线名称。
4. 上线后,程序进入循环等待 C2 服务器发出指令,然后根据指令执行 DDOS 组件“Nidispla2.exe”。
5. DDOS 命令包含“POST”,“GET”,“TCP”三种 DDOS 攻击方式,还有“停止攻击”功能。
6. Nidispla2.exe 是一个功能简单的 DDOS 攻击程序,程序内准备了多种用于攻击的User-Agent。
紧急处置
1 处置流程
1. 可根据受感染主机 IP 定位的终端或者服务器设备,直接使用专杀工具进行查杀;
2. 若不可定位受感染设备,则需借助态势感知设备进行日志分析,使用该僵尸网络特征中的域名、IP、病毒文件名称等关键词对日志进行检索,找到相关日志,定位被感染主机,再到主机使用专杀工具进行查杀。
3. 可询问设备负责人是否曾使用非官方激活工具、破解软件等,若有,大概率是被感染原因。
2 专杀工具
深信服安服应急响应团队已研发出针对 BlackMoon 僵尸网络恶意程序的专杀工具,能够有效完成受感染设备的处置工作。 下载链接:https://edr.sangfor.com.cn/api/download/%E6%B7%B1%E4%BF%A1%E6%9C%8Dblackmoon%E4%B8%93%E6%9D%80%E5%B7%A5%E5%85%B7.zip
注:压缩包中包含 config.yml 配置文件,初始为 false,此状态工具只检测不查杀,将其改为 true 会查杀,建议只做检测,检测完之后会生成一个 MRHlog.log,若存在病毒,log 文件里面会记录病毒文件路径,找到查杀即可。
解决方案
1 防护建议
1.避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描;
2.定期使用杀毒软件进行全盘扫描。
2 深信服解决方案
【深信服终端检测响应平台EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
原文始发于微信公众号(深信服千里目安全实验室):【恶意文件通告】BlackMoon恶意文件分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论