66期报告汇总
安天发布《Mayday家族样本分析报告》
 
      近日,经过安天追影小组对Trojan[DDoS]/Linux.Mayday家族的分析监控,获知该家族的最近两次攻击活跃时间,并监控到Mayday家族参与了2016年10月的Dyn攻击。该家族样本最早版本在2013年末就已经出现,到现在已经衍生8个版本。开始从样本硬编码IP类型的C2,过渡到通过域名查询获取动态C2的IP。

      尽管Mayday家族的版本一直在衍生和完善,但其通信协议等基本框架并没有变,DDoS攻击类型也基本没有变化,主要包括:dns flood,tcp flood,udp flood,cc flood,icmp flood这几种攻击方式。通过对Mayday家族样本分析比较,发现虽然样本在常驻“肉鸡”——样本备份和自启动方面仍有完善的空间,但是样本的模块封装十分完善,条理清晰,这也是家族版本能快速衍生的原因之一。其中主要封装的CTaskInfo(指令任务处理)模块(类),CManager(消息处理)模块,CNetBase(网络处理)模块,CServerIP(与CNC数据交互)模块,CStatBase(状态信息-或许系统版本配置等信息)模块。

      通过长期监控获知,Mayday家族的僵尸网络控制节点主要分布于国内,也有相当一部分分布于美国,而国内的主要分布于东部沿海的省份,集中于苏浙两省。Mayday DDoS在近两个月中,相对比较活跃的周期为9月中旬-10月上旬、11月5日-11月10日,两个周期中都有5W+ 次攻击目标。其中11月5日-11月10日是一个井喷式爆发期,每天有20W+ 次攻击目标,发动攻击控制节点主要分布于美国,且攻击目标也集中于美国。在Mayday DDoS沉默期间,还监控到Mayday DDoS也参与10月下旬对美国Dyn的DDoS攻击,根据僵尸控制节点量预计攻击流量贡献达80G+。

      Mayday发展至今已是Linux x86僵尸网络的常见家族,该家族的出现并快速遍布于互联网,严重影响互联网的安全健康发展,损坏了广大网民安全利益,损耗互联网及设备资源。经过安天追影小组的长期监控与跟踪,从目前掌握的情况看,Mayday家族目前还没有样本备份和自启动,因此,如果计算机被植入Mayday家族只需要删除样本并重新启动即可。