- A+
12月10日,DNS异常故障时期,360网络攻防实验室的小伙伴也在跟进此问题。之前定位到*.arkhamnetwork.org;*.arkhamnetwork.com(针对某游戏服务提供商的权威域名服务器进行攻击,最后服务商解析内容fraud.ddos.go.away,投降)360的递归DNS缓存被攻击的流量大概30000QPS,
下图是根据360大数据安全分析可视化平台发现一台BOT终端解析域名的情况,这个攻击特征非常明显,而且攻击方法也非常粗暴。
通过下面这张图片分析到遭受拒绝服务攻击的不止*.arkhamnetwork.org;*.arkhamnetwork.com,这两个根域名。其主要的两个DNS服务器是ns11.dnsmadeeasy.com和ns12.dnsmadeeasy.com,其中有很多台类似IP:167.114.25.179这样的bot发起了很多针对*.arkhamnetwork.org的DNS拒绝服务攻击请求。造成两台nameserver拒绝服务。
通过网络活动定位到调用网络活动的进程文件如下,该蠕虫程序会生成很多新的进程文件,进程文件中会包含此进程所执行的指令。
蠕虫程序在执行后会在指定目录下生成随机文件名的恶意代码,并在运行后自删除。
有幸的是,找到了一些没有删除的恶意样本。于是乎就把程序download下来分析。
首先判断这些恶意文件是ELF可执行文件,并不是什么脚本一类的。
我们在IDA下对样本文件进行静态分析,能够看到该蠕虫程序的一些任务指令,以及C2服务器的地址。还有一些是C2服务器IP地址显示这台智能硬件的状态。目前分析到SLEEP,Dildos这两个状态。
根据逆向分析后得到的关键信息发现该智能硬件蠕虫状态的进一步证据,下图显示的是该智能硬件处于Sleeping状态。
当进入Sleeping状态时,这个终端只与C2服务器(23.227.173.210)连接,不执行任何扫描感染任务,也不进行DOS攻击任务。
2.对于厂商来讲,需要加强固件的安全审计,对智能硬件进行测评,保障智能硬件不存在信息安全问题,才可以供货。并关注国内外对智能硬件进行安全测试结果和漏洞。有新漏洞出现时需及时打补丁。
3.对于相关部门、运营商、安全公司,应该对这些BOT进行全方位的监控,如果BOT发起大量的异常攻击从运营商层面进行流量清洗。对BOT恶意版本的变化进行定期的取样和分析。研发相关查杀脚本。
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
