《BlackMoon僵尸网络大规模传播风险预警.docx》由会员分享,可在线阅读,更多相关《BlackMoon僵尸网络大规模传播风险预警.docx(2页珍藏版)》请在第壹文秘上搜索。
1、BlackMoon僵尸网络大规模传播风险预警近期,CNCERT监测发现BlackMoon僵尸网络在互联网上进行大规模传 播,通过跟踪监测发现其1月控制规模(以IP数计算)已超过100万,日 上线肉鸡数最高达21万,给网络空间带来较大威胁。一、BlaCkMoOn僵尸网络分析1、该僵尸网络大规模传播的样本涉及10个下载链接、6个恶意样本(详 情见第4节相关IOC),样本分为两类:一类用于连接C2,接受控制命令的 解析程序,包括 Yic exe、nby exe、yyl、exe ii7 exe ii8 exe; 另一类为执行DDOS攻击的程序,为NidiSPIa2、exeo该僵尸网络样本功能 不复杂,
2、仅发现DDoS功能,截至目前攻击目标均为一个IP,且未发现针对 该IP的明显攻击流量,因此初步怀疑该僵尸网络还在测试过程中。2、通过关联分析发现,该BIaCkMOOn僵尸网络传播方式之一是借助独 狼(Rovnix)僵尸网络进行传播。独狼僵尸网络通过带毒激活工具(暴风 激活、小马激活、KMS等)进行传播,常被用来推广病毒和流氓软件。二、防范建议请全校教职工生强化风险意识,加强安全防范,避免不必要的经济损 失,主要建议包括:1、安装学校提供的企业杀毒软件一一天融信终端防御系统,下载地址: http:/edr hncj edu cn02、不要点击来源不明邮件。3、不要打开来源不可靠网站。4、不要安装来源不明软件。5、不要插拔来历不明的存储介质。三、当发现主机感染僵尸木马程序后,立即核实主机受控情况和入侵 途径,并对受害主机进行清理。
