23期报告汇总

 安天发布《盗取过期签名的DDoS样本分析报告》
 
       近日,安天追影小组在分析样本的过程中发现了一款带有过期签名的DDoS恶意程序。其盗用的数字签名属于韩国NHN公司美国分公司,主要目的是为了躲避杀软检测。为了搜索网络犯罪证据,获取恶意代码和作者的来源,追影小组进行了基于安天实验室两款产品追影威胁分析系统(PTA)和探海威胁检测系统(PTD) 的恶意代码分析与追踪。发现样本存在多种恶意行为,属于远程控制木马,主要目的是控制用户计算机,窃取用户私密信息,损害计算机系统等。

       通过样本分析可以发现,此DLL样本的功能大部分都是跟DDOS相关的。而且其每次获取的攻击目标都是从指定的域名上动态获取到的。再结合种马,从规模上来说,就属于分布式的DDOS了。在用户感染此样本后,就会充当其中的一台DDOS肉鸡,还会面临一些敏感数据泄漏,恶意程序安装,Hosts被修改造成钓鱼劫持,网络性能低下等影响,具有极强的危害性。

       由PTD查询结果表明,该样本活跃时间约为2015年11月3日至2015年11月28日。目前,该DDOS样本仍处于极度活跃状态,根据定时(时间间隔为半小时)投递PTA分析报告显示,仅仅在一天内,就有数十家网站疑似遭到DDOS攻击,主要为国内的一些在线销售减肥药网站、在线赌博网站、电子交易平台等。由报告结果同时可知,该样本攻击行为的触发时间大部分为10点至22点,正好处于各网站访问量较多的时间段,在这个时间段遭受到DDOS攻击,会对网站运营造成巨大影响与损失。

       通过对黑客的追踪,追影小组发现攻击者使用fabao.309420.com:7002作为C&C服务器,分发DDOS攻击任务,并可实现简单的远程控制。域名所有者名为WU YUAN,注册邮箱为wu_yuan@163.com,常活动地区为广东广西。目的可能是敲诈或者同业竞争。