-
-
[原创]DorkBot僵尸网络近期活跃情况报告
-
发表于: 2019-10-28 10:21 7178
-
背景介绍
去年7月,深信服安全团队在应急响应工作中发现DorkBot的一个变种。近几个月,通过深信服安全云脑的监控数据发现Dorkbot又开始活跃。下图可以看到该僵尸网络的活跃指数逐月升高。僵尸网络一般都是作为网络攻击的载体,勒索软件、挖矿木马等很多恶意软件目前都通过僵尸网络分发。
样本分析
norton、antivirus、symantec、mcafee、eset、avg、avast、avira、kaspersky、checkpoint、grisoft、antivir、bitdefender、windows defender、unlocker、sandboxie、windowsupdate、alwil、avpersonal、sophos、virus、f-secure、trend、ccleaner、malware、norton、internet security、drweb、spyware
核心代码中所使用的API都通过动态获取函数地址,并且关键字符串都需要解密使用。
创建calc.exe进程进行注入。
该病毒通过U盘进行传播,会创建一个窗口用于监听USB的插入。
http://api.wipmania.com.selfmg.ru/api.gif
http://api.wipmania.com.lotus5.ru/api.gif
http://api.wipmania.com.wipmania.ru/LkwAxD.gif
http://api.wipmania.com.lotys.ru/vJoJAi.gif
http://api.wipmania.com.bwats.ru/OfjTMe.gif
http://api.wipmania.com.stcus.ru/apSPhv.gif
http://api.wipmania.com.cmoen.ru/zkmcHM.gif
http://api.wipmania.com.artbcon3.ru/frfLeC.gif
http://api.wipmania.com.yeloto.ru/zwFMwD.gif
在notepad.exe进程中解密出如下域名:防护建议
64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
1、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁;
2、深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速扩展安全能力,针对此类威胁安全运营服务提供设备安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课