[原创]DorkBot僵尸网络近期活跃情况报告-安全资讯-看雪-安全社区|安全招聘|kanxue.com

[原创]DorkBot僵尸网络近期活跃情况报告

发表于: 2019-10-28 10:21 7485

[原创]DorkBot僵尸网络近期活跃情况报告

深信服千里目

2019-10-28 10:21

7485

背景介绍

DorkBot是一个臭名昭著的僵尸网络，使用的攻击手段包括后门植入，密码窃取等恶意行为。传播方式也各式各样，包括移动U盘、即时通讯软件、社交网络、电子邮件等。主要攻击目的就是盗取用户密码，以及各种能够识别个人身份的信息。
去年7月，深信服安全团队在应急响应工作中发现DorkBot的一个变种。近几个月，通过深信服安全云脑的监控数据发现Dorkbot又开始活跃。下图可以看到该僵尸网络的活跃指数逐月升高。僵尸网络一般都是作为网络攻击的载体，勒索软件、挖矿木马等很多恶意软件目前都通过僵尸网络分发。

从感染位置来看，东南沿海、京津冀和西南地区受灾较为严重。其中广东省、山东省、山西省分列感染量前三，出人意料的是青海感染量位居第五。分布如下图所示：

从感染行业来看，政府、教育部门和企业为主要攻击目标。

在国内各省份和地区中，广东省感染量最大。其中企业、政府和教育部门受害严重，也基本上与国内整体感染行业的分布较为类似。由此可见，相关行业亟需加强对网络攻击的防御。

样本分析

病毒流程

反检测技术

文件用了多层payload解密的技术，用于躲避安全软件检测和干扰调试，最后解密出一个完整的PE文件，包含核心恶意代码。

通过字符串终止下列安全软件进程：

norton、antivirus、symantec、mcafee、eset、avg、avast、avira、kaspersky、checkpoint、grisoft、antivir、bitdefender、windows defender、unlocker、sandboxie、windowsupdate、alwil、avpersonal、sophos、virus、f-secure、trend、ccleaner、malware、norton、internet security、drweb、spyware

注入技术

创建一个同名进程，将解密的PE文件注入进程。

核心代码中所使用的API都通过动态获取函数地址，并且关键字符串都需要解密使用。

创建calc.exe进程进行注入。

创建svchost.exe进程进行注入。

结束已有的notepad.exe进程，创建新的notepad.exe进程进行注入。

传播模块

该病毒通过U盘进行传播，会创建一个窗口用于监听USB的插入。

当有U盘插入后，会检测是否已存在感染的文件，进行删除，重新感染，并设置文件属性为隐藏。

持久化模块

拷贝自身到"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Adobe\Reader_sl.exe"，并添加到注册表自启动。

网络模块

在calc.exe进程中解密如下url下载文件到受害主机的temp目录：

8a0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6i4N6A6M7r3#2S2L8X3W2S2i4K6u0W2j5$3!0E0i4K6u0W2M7$3g2D9k6X3#2Y4i4K6u0W2M7Y4g2Q4x3V1k6S2M7r3W2Q4x3X3g2Y4K9h3j5`.

c4fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6i4N6A6M7r3#2S2L8X3W2S2i4K6u0W2j5$3!0E0i4K6u0W2L8r3!0@1N6i4x3#2i4K6u0W2M7Y4g2Q4x3V1k6S2M7r3W2Q4x3X3g2Y4K9h3j5`.

666K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6i4N6A6M7r3#2S2L8X3W2S2i4K6u0W2j5$3!0E0i4K6u0W2N6$3W2H3L8h3q4F1K9h3q4Q4x3X3g2J5N6g2)9J5c8V1I4C8N6@1q4^5c8q4)9J5k6h3N6A6k6R3`.`.

055K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6i4N6A6M7r3#2S2L8X3W2S2i4K6u0W2j5$3!0E0i4K6u0W2L8r3!0@1P5i4y4Q4x3X3g2J5N6g2)9J5c8Y4k6v1L8@1A6m8K9g2)9J5k6h3N6A6k6R3`.`.

a1fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6i4N6A6M7r3#2S2L8X3W2S2i4K6u0W2j5$3!0E0i4K6u0W2j5Y4N6S2N6s2y4Q4x3X3g2J5N6g2)9J5c8V1!0X3K9W2c8y4k6g2)9J5k6h3N6A6k6R3`.`.

af0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6i4N6A6M7r3#2S2L8X3W2S2i4K6u0W2j5$3!0E0i4K6u0W2M7%4c8U0N6i4y4Q4x3X3g2J5N6g2)9J5c8X3q4H3f1#2m8Z5N6W2)9J5k6h3N6A6k6R3`.`.

1b4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6i4N6A6M7r3#2S2L8X3W2S2i4K6u0W2j5$3!0E0i4K6u0W2j5$3#2G2k6h3&6Q4x3X3g2J5N6g2)9J5c8Y4A6C8L8h3y4t1e0g2)9J5k6h3N6A6k6R3`.`.

d56K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6i4N6A6M7r3#2S2L8X3W2S2i4K6u0W2j5$3!0E0i4K6u0W2j5i4u0@1j5X3y4G2L8U0y4Q4x3X3g2J5N6g2)9J5c8X3k6J5k6V1I4W2b7#2)9J5k6h3N6A6k6R3`.`.

8dfK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6i4N6A6M7r3#2S2L8X3W2S2i4K6u0W2j5$3!0E0i4K6u0W2P5h3g2D9L8%4c8G2i4K6u0W2M7Y4g2Q4x3V1k6*7N6@1k6y4N6@1c8Q4x3X3g2Y4K9h3j5`.

在notepad.exe进程中解密出如下域名：

连接C&C端获取指令。

防护建议

病毒检测查杀

1、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测，如图所示：

2、深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。

64位系统下载链接：f5bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2V1M7W2)9J5k6i4y4S2L8X3N6X3L8%4u0Q4x3X3g2U0L8$3#2Q4x3X3g2U0L8W2)9J5c8Y4c8G2L8$3I4Q4x3V1k6e0k6X3q4T1b7h3&6@1K9f1u0G2N6q4)9#2k6W2R3$3y4q4)9J5k6e0N6*7
32位系统下载链接：555K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2V1M7W2)9J5k6i4y4S2L8X3N6X3L8%4u0Q4x3X3g2U0L8$3#2Q4x3X3g2U0L8W2)9J5c8Y4c8G2L8$3I4Q4x3V1k6e0k6X3q4T1b7h3&6@1K9f1u0G2N6q4)9#2k6W2R3^5y4W2)9J5k6e0N6*7

病毒防御

1、使用深信服安全产品，接入安全云脑，使用云查服务可以即时检测防御新威胁；

2、深信服推出安全运营服务，通过以“人机共智”的服务模式帮助用户快速扩展安全能力，针对此类威胁安全运营服务提供设备安全设备策略检查、安全威胁检查、相关漏洞检查等服务，确保第一时间检测风险以及更新策略，防范此类威胁。

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。推荐使用深信服安全感知+防火墙+EDR，对内网进行感知、查杀和防护。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持