近日一款名为“暗云”的木马在互联网大规模传播,国内已有数百万用户感染了此木马。
事情的背景是这样的——此前在2017年5月26日,启明星辰泰合计划的合作伙伴——烽火台威胁情报联盟成员单位Panabit监测到一次大面积网络DDos攻击活动,后经腾讯云鼎实验室确定本次超大规模DDos攻击由“暗云”黑客团伙发起。
对,绝对认真。这次“暗云”木马恶意传播事件正是由这个“暗云”黑客团伙发起,这个木马具有隐蔽性强、潜在危害大、传播范围广等特点,其暂只能感染Windows桌面系统,被感染的window桌面系统会主动每隔5分钟会去访问暗云僵尸网络C&C的URL(www.acsewle.com:8877/ds/kn.html),接受C&C服务器发出的指令,组成僵尸网络,对目标进行有针对性的DDos攻击。目前已知被DDos攻击的地址如下:
被攻击IP地址 | 所属地区 | 运营商网络 | 所属单位 |
113.105.245.107 | 广东佛山 | 电信 | 佛山某高防 |
182.86.84.236 | 江西上饶 | 电信 | 上饶某高防 |
27.221.30.113 | 山东青岛 | 联通 | 青岛某高防 |
183.60.111.150 | 广东佛山 | 电信 | 某IDC |
详细的信息参考《“暗黑流量”超大规模DDoS溯源分析》,其网址为http://mp.weixin.qq.com/s/MYbSHWHE4qpa0XJ3N6nAzw
冷静,不要怕。针对此次爆发的“暗云”的木马事件,泰合北斗安全服务团队紧急发布基于泰合安全管理平台的监控及应急处置指引,对部署启明星辰安全管理平台并已正确接入涉及网内的安全设备、网络设备、主机等设备,将流量日志、网络访问日志或DNS请求日志等数据采集的用户,可根据此指引对该木马病毒爆发的情况进行实施监测与处置。
具体的操作如下:
1、通过“事件”模块,快速检索和查询内网主机或终端是否已存在有感染的Windows系统主动访问暗云木马C&C服务器的行为,可通过对端口8877的访问行为、指定的URL的访问记录、指定域名请求日志作为条件等进行检索。
如果查询出来的日志中“目的地址”字段属于如下地址:23.234.51.251、23.234.51.135、23.234.13.62、23.234.51.39、23.234.13.65或“请求内容”字段的URL或域名包括如下内容:
1 www.acsewle.com:8877/ds/kn.html
2 107190.maimai666.com
3 214503.maimai666.com
4 download.maimai666.com
5 maimai666.com
6 ms.maimai666.com
7 q.maimai666.com
8 www.maimai666.com
说明日志中的源地址可能感染了“暗云”木马病毒,需要对源地址进一步的查证。
2、建立威胁情报库:在观察列表中,增加“暗云”木马病毒CC地址和“暗云”木马病毒URL库,将上述IP地址、域名和URL加入到相应的威胁情报库中。
3、建立基于威胁情报“L2_MC_暗云木马病毒连接”的关联分析规则,设置的规则条件如下:设备类型开始与安全设备&目的地址等于8877&目的地址引用威胁情报库:“暗云”木马病毒CC地址或请求内容引用威胁情报库:“暗云”木马病毒URL。
4、基于安全管理平台的应急响应:通过安全管理平台的关联分析规则,实现及时从海量日志数据中找出感染“暗云”木马的主机或终端访问C&C服务器的异常行为,并及时产生告警,通过短信或邮件的方式通知受影响资产的责任人,或者在安全管理平台上通过 “工单流程”实现告警的派发与处理进度状态跟踪。也可直接联系泰合北斗服务团队,我们将会对您购买的泰合安全管理平台规则库进行升级处理。
技术大叔说“暗云”是一个迄今为止最复杂的木马之一,为了长期地潜伏在用户的计算机系统中,它运用了更多的新型的、复杂的技术手段,所以才能在短短一个月就感染了数以百万台计算机。
不过俗话说的好,魔高一尺,道高一丈,泰合北斗安全服务团队紧急发布基于泰合安全管理平台的监控及应急处置指引,可根据此指引对该木马病毒爆发的情况进行实施监测与处置,企业安全可以不慌啦~!
(来源:启明星辰)
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
