秋霞电影院午夜理论片费看,国产美女自卫慰视频福利app,av亚洲产国偷v产偷v自拍av,狠狠做久久深爱婷婷97,狠狠做久久深爱婷婷97

您好,歡迎進(jìn)入銳速云官網(wǎng)!

售后熱線:4006-5050-10 QQ客服:2852917158 登錄 注冊

銳速云防護(hù)團(tuán)隊(duì)扛住最大攻擊量達(dá)到900G-安天針對“魔鼬”木馬DDoS事件分析報(bào)告
編輯作者:   發(fā)布時(shí)間:2017-10-26

  銳速云防護(hù)團(tuán)隊(duì)參與了整個(gè)攻擊事件的全過程,分析的12個(gè)站點(diǎn)中有3個(gè)是銳速云在做防護(hù)并保證了客戶正常運(yùn)行,其中防護(hù)的一個(gè)站點(diǎn)最大的攻擊量達(dá)到了900G。

    1   概述

  2017年7月30日,安天安全研究與應(yīng)急處理中心(Antiy CERT)的工程師發(fā)現(xiàn)一種具備拒絕服務(wù)(DDoS)攻擊能力的新型木馬。經(jīng)初步分析,安天CERT工程師認(rèn)為該木馬屬于一個(gè)新家族,并將其命名為“魔鼬”。通過關(guān)聯(lián)查詢安天對于DDoS攻擊的歷史監(jiān)測數(shù)據(jù),發(fā)現(xiàn)本次事件中受攻擊的域名同時(shí)也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻擊。

  2    受攻擊目標(biāo)

  通過樣本分析,發(fā)現(xiàn)被攻擊域名或IP多為操作系統(tǒng)下載站點(diǎn),受攻擊的域名/IP和對應(yīng)的網(wǎng)站名如表2-1所示。

  表2‑1受攻擊的域名/IP對應(yīng)的網(wǎng)站

  IMG_256

  通過電信云堤的協(xié)助分析,我們在部分網(wǎng)絡(luò)出口提取攻擊數(shù)據(jù),部分域名訪問量抽樣統(tǒng)計(jì)如下:

  IMG_257

  IMG_258

  圖2‑1對www.swerrt.cn域名的訪問量

  IMG_259

  IMG_260

  圖2‑2對win7.bdxsa.com域名的訪問量

  在運(yùn)營商的大部分骨干網(wǎng)設(shè)備上都可以觀察到攻擊流量和C2心跳,具體感染數(shù)量有待進(jìn)一步核查。

  3    事件樣本分析

  樣本的編譯時(shí)間為2017-07-01 21:22:54(時(shí)間戳 5957A22E),根據(jù)前面的攻擊事件發(fā)現(xiàn)時(shí)間,初步認(rèn)為該時(shí)間是未經(jīng)過篡改的,可見該木馬家族的出現(xiàn)時(shí)間僅有短短的1個(gè)月。

  IMG_261

  圖3‑1樣本時(shí)間戳

  樣本的運(yùn)行流程和主要行為如下:

  1.創(chuàng)建互斥量保證唯一實(shí)例運(yùn)行。

  IMG_262

  圖3‑2創(chuàng)建互斥量

  2.加載資源數(shù)據(jù),讀取指定偏移的內(nèi)容作為C2地址(www.linux288.com)。

  IMG_263

  圖3‑3加載資源數(shù)據(jù)

  3.連接C2服務(wù)器,發(fā)送本機(jī)系統(tǒng)信息(包括主機(jī)名、CPU、內(nèi)存、系統(tǒng)版本等),接收C2返回的攻擊目標(biāo)列表。

  IMG_264

  圖3‑4接受服務(wù)器返回?cái)?shù)據(jù)

  4.在分析中我們發(fā)現(xiàn),C2返回的攻擊目標(biāo)列表數(shù)據(jù)每隔一段時(shí)間會(huì)發(fā)生變化,從而控制受害主機(jī)向不同的IP或域名發(fā)動(dòng)攻擊。

  IMG_265

  IMG_266

  圖3‑5服務(wù)器返回不同的攻擊目標(biāo)列表

  5.接收到數(shù)據(jù)后,樣本按指定的格式解析攻擊列表數(shù)據(jù)(link_list和task_list)。

  IMG_267

  圖3‑6解析數(shù)據(jù)包內(nèi)容

  6.樣本根據(jù)task_list地址和配置,創(chuàng)建大量線程,向目標(biāo)地址發(fā)起DDoS攻擊。

  IMG_268

  圖3‑7發(fā)起DDoS攻擊

  4    相關(guān)事件關(guān)聯(lián)

  對本次事件中的被攻擊域名進(jìn)行關(guān)聯(lián)查詢,發(fā)現(xiàn)部分域名在相近時(shí)間也遭受了其他組織的DDoS攻擊,詳細(xì)信息如下:

  表4‑1關(guān)聯(lián)查詢結(jié)果

  IMG_269

  IMG_270

  部分域名受攻擊的數(shù)據(jù)如下所示:

  IMG_271

  圖4‑1域名win7.hangzhouhongcaib.cn的攻擊數(shù)據(jù)

  IMG_272

  圖4‑2域名www.xiaomaxitong.cn的攻擊數(shù)據(jù)

  IMG_273

  圖4‑3域名x1.xy1758.com的攻擊數(shù)據(jù)

  5   總結(jié)

  經(jīng)過分析和關(guān)聯(lián)查詢,發(fā)現(xiàn)在相近時(shí)間內(nèi)多個(gè)組織對相同目標(biāo)發(fā)起DDoS攻擊。從目前掌握的資料來看,本次DDoS事件的攻擊強(qiáng)度足以癱瘓一般的網(wǎng)站,但是部分受攻擊網(wǎng)站采用了CDN服務(wù),因此沒有受到嚴(yán)重影響。該木馬家族的出現(xiàn)時(shí)間僅有短短的1個(gè)月,卻發(fā)現(xiàn)較多起由該家族發(fā)起的DDoS攻擊事件,說明該木馬傳播速度較快,需要引起重視。

   


版權(quán)所有:Copyright @ 2016-2022 深圳市銳速云計(jì)算有限公司 增值電信業(yè)務(wù)經(jīng)營許可證
粵B1-20171508 備案系統(tǒng) 粵ICP備16119720號(hào) 粵公網(wǎng)安備 44030902000612號(hào)