47期报告汇总
安天发布《DDOS攻击之鬼影DDOS家族分析》
近日,安天追影小组发现了大量的鬼影DDOS家族变种,并在进行网络通信流量监控时发现,异常通信行为中占比最大的正是鬼影DDOS家族,安天追影小组随即对其进行了分析。
样本分析
1.
样本运行后会在系统目录下释放以6为随机字符为名称的PE文件,并创建该名称的进程,还会为其创建特定服务名称的服务项,以完成自身自启动的目的。
2.
创建互斥量,互斥量大多情况与服务名相同。
3.释放名称为hra33.dll或gei33.dll的文件,同时在所有系统应用程序目录下释放其复制体,名称为lpk.dll,用以劫持系统lpk.dll文件。
4.有些变种还会开启线程对局域网的主机进行弱密码猜解,猜解成功后会直接自复制到目标主机的共享目录中(admin$\C$\D$\E$\F$),然后去感染局域网其他用户。
5.一些变种也会使用到Rootkit、不死进程等方式存活。
6.完成感染主机后,样本就会开启线程与C2进行通信,并根据接收的命令进行相关的操作。
解决方案
1.查看进程列表和系统目录C:\Windows\System32或C:\Windows目录下,是否有随机以6为字符为名称的进程和文件。关闭进程,删除文件。
2.删除相应的服务项。
3.下载系统lpk.dll文件,替换到C:\Windows\System32\lpk.dll,并删除系统中其他所有lpk.dll文件,及gei33.dll或hra33.dll文件。
4.由于手动删除较为麻烦,建议用户更新杀毒软件病毒库,并定期检测。
总结
经分析,黑客利用包括鬼影DDOS家族在内的DDOS恶意代码进行攻击时,大多会采用阶段性攻击方式,一般表现为受害端机器暂时卡顿一段时间,使受害者认为是网络问题,而不会意识到自身机器被感染,从而增强了恶意代码的生存周期。
同时,DDOS攻击对网络财产、隐私等内容进行窃取,并从中获利,在利益的驱动下,DDOS攻击业务必然快速滋生,对政府单位、企业、事业、个人等正常服务网站和其他网站系统造成巨大的威胁,对网络安全环境造成极大的危害。安天建议广大用户加强网络安全防护意识,定期更新杀毒软件病毒库,对此类威胁进行检测查杀。