騰訊安全反病毒實驗室：捕獲多起Ramnit殭屍網路家族的DDoS攻擊

0x1 概況

近期，騰訊安全反病毒實驗室和騰訊雲安全團隊感知到多起DDoS攻擊事件，攻擊目標包括為金融、婚戀、博彩等類型的網站，研究發現這幾起攻擊來自於同一殭屍網路。

目前該殭屍網路已感染機器數達到數萬台，而傳播源就是Ramnit家族。Ramnit初始形態為蠕蟲病毒，通過自繁殖策略得到迅速傳播，感染計算機的exe、dll、html、htm、vbs文件，新變種通過捆綁在未知來源的軟體或植入到受害網站的工具包中進行傳播，受感染機器組成殭屍網路，對網路上的目標發起DDoS攻擊。

受影響網站：

0x2 攻擊、溯源過程及詳細分析

1. 攻擊過程

2. 溯源過程

3. 詳細分析

木馬啟動後，會檢測是否被感染過，如果已經被感染過，則直接啟動木馬註冊的服務程序。

新感染的機器會檢測自身是否運行在windows目錄下，如果不在，則拷貝自身到系統目錄，文件名為6個隨機小寫字元：

拷貝到system32目錄後，註冊服務程序，服務名為Winhelp32。

服務入口處，即創建一個線程，負責接收命令。

線程入口處解析C2伺服器地址以及埠，域名：www.m**r.xyz 埠：7555

遠控伺服器解析後，開始搜集計算機信息，包括操作系統版本，處理器個數，處理器容量，遠程桌面埠。

該木馬目前可接受伺服器發來的5個命令。

CMD_DOWNLOAD_RUN_EXE：

目前監控到該木馬下載過的鏈接，目前鏈接已經失效。

CMD_ADD_USER：

為了後續遠程3389登錄，木馬會在本地添加一個賬戶。

CMD_DDOS：

接收到DDoS攻擊命令後，木馬循環連接被攻擊目標網站，並發送攻擊包。

該木馬同時會檢測金盾防火牆以及伺服器安全狗，並試圖繞過其防護：

CMD_UNINSTAL命令：

0x3 攻擊者溯源

根據域名信息，查詢到攻擊者的一些基本信息。

通過管理員郵箱查到攻擊者QQ，昵稱和域名對應，確認這個就是攻擊者QQ。

同時也發現該郵箱註冊了支付寶，真實名是*華勝。

也發現攻擊者曾在某論壇共享SS-R服務，表示害怕成為DDoS受害者，而他真實身份竟然是攻擊者。

0x4 安全建議

用戶可通過查看windows服務確認是否中招：一旦發現 winhelp32 服務在運行，則很可能已經感染了殭屍網路。此外，使用騰訊電腦管家可以實時攔截該木馬。

*本文作者：騰訊電腦管家，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！