近期，CNCERT監(jiān)測發(fā)現(xiàn)BlackMoon僵尸網(wǎng)絡(luò)在互聯(lián)網(wǎng)上進(jìn)行大規(guī)模傳播，通過跟蹤監(jiān)測發(fā)現(xiàn)其1月控制規(guī)模（以IP數(shù)計算）已超過100萬，日上線肉雞數(shù)最高達(dá)21萬，給網(wǎng)絡(luò)空間帶來較大威脅。具體情況如下：

一、 僵尸網(wǎng)絡(luò)分析

（一）相關(guān)樣本分析

　　該僵尸網(wǎng)絡(luò)大規(guī)模傳播的樣本涉及10個下載鏈接、6個惡意樣本（詳情見第4節(jié)相關(guān)IOC），樣本分為兩類：一類用于連接C2，接受控制命令的解析程序，包括Yic.exe、nby.exe、yy1.exe、ii7.exe、ii8.exe；另一類為執(zhí)行DDoS攻擊的程序，為Nidispla2.exe。該僵尸網(wǎng)絡(luò)樣本功能不復(fù)雜，僅發(fā)現(xiàn)DDoS功能，截至目前攻擊目標(biāo)均為一個IP，且未發(fā)現(xiàn)針對該IP的明顯攻擊流量，因此初步懷疑該僵尸網(wǎng)絡(luò)還在測試過程中。

　　接受控制指令的惡意代碼，由e語言編寫，整體運(yùn)行過程如下：

　?。?）樣本運(yùn)行后，創(chuàng)建名為：kongxin1123的互斥量防止惡意代碼多次運(yùn)行，之后通過遍歷固定字符串的方式找到內(nèi)置的HPSocket4C庫文件，該庫一個網(wǎng)絡(luò)通信庫，加載到內(nèi)存進(jìn)行注冊。惡意代碼把處理ddos的函數(shù)和上線函數(shù)注冊到此庫中，進(jìn)行回調(diào)。

　?。?）連接c2地址，連接成功后，把收集的信息“上線||[電腦名]”發(fā)送到c2服務(wù)器，之后在閉循環(huán)中等待接受命令數(shù)據(jù)。

　?。?）如果存在命令數(shù)據(jù)，回調(diào)DDoS處理函數(shù)進(jìn)行處理，當(dāng)前存在的攻擊命令：POST、GET、TCP3種攻擊，惡意代碼對接受的攻擊命令進(jìn)行字段驗證，保證每個攻擊存在對應(yīng)的字段，之后使用同目錄下的ddos攻擊程序：Nidispla2.exe，把攻擊數(shù)據(jù)通過參數(shù)的方式傳入到此文件，執(zhí)行ddos攻擊。

DDoS攻擊程序可以通過不同的方式發(fā)送DDoS攻擊，并且可以使用不同的UA頭進(jìn)行攻擊。

（1）POST模式攻擊指令，如下圖所示：

圖1  Post模式攻擊

（2）GET模式攻擊指令，如下圖所示：

圖2 GET模式攻擊

（3）TCP模式攻擊指令，如下圖所示：

圖3 TCP模式攻擊

（4）可以使用不同的UA頭進(jìn)行攻擊，如下圖所示：

圖4 不同的UA頭進(jìn)行攻擊

　　通過關(guān)聯(lián)分析發(fā)現(xiàn)，該BlackMoon僵尸網(wǎng)絡(luò)傳播方式之一是借助獨(dú)狼（Rovnix）僵尸網(wǎng)絡(luò)進(jìn)行傳播。獨(dú)狼僵尸網(wǎng)絡(luò)通過帶毒激活工具（暴風(fēng)激活、小馬激活、 KMS等）進(jìn)行傳播，常被用來推廣病毒和流氓軟件。

圖5 獨(dú)狼配置文件

　　通過監(jiān)測分析發(fā)現(xiàn)，2022年1月15日至2月22日BlackMoon僵尸網(wǎng)絡(luò)日上線肉雞數(shù)最高達(dá)到21萬臺，累計感染肉雞數(shù)達(dá)到237萬，幾乎均為境內(nèi)主機(jī)。每日上線肉雞數(shù)情況如下。

BlackMoon僵尸網(wǎng)絡(luò)位于境內(nèi)肉雞按省份統(tǒng)計，排名前三位的分別為廣東?。?2.7%）、河南?。?.3%）和江蘇?。?.6%）；按運(yùn)營商統(tǒng)計，電信占57.5%，聯(lián)通占22.9%，移動占19.4%。

文章來源：國家互聯(lián)網(wǎng)應(yīng)急中心