收藏 [登錄/注冊] 歡迎
榕基門戶網及子站
聯系我們
  • 福建榕基軟件股份有限公司
  • 電話:0591-87860988
  • 傳真:0591-87869595
  • 地址:福建省福州市鼓樓區
  •    軟件大道89號
  •    A區15座
  • 郵編:350003
您的當前位置:首頁 > 技術支持 > 安全公告

DorkBot僵尸網絡近期活躍情況報告

背景介紹

DorkBot是一個臭名昭著的僵尸網絡,使用的攻擊手段包括后門植入,密碼竊取等惡意行為。傳播方式也各式各樣,包括移動U盤、即時通訊軟件、社交網絡、電子郵件等。主要攻擊目的就是盜取用戶密碼,以及各種能夠識別個人身份的信息。僵尸網絡一般都是作為網絡攻擊的載體,勒索軟件、挖礦木馬等很多惡意軟件目前都通過僵尸網絡分發。

從感染位置來看,東南沿海、京津冀和西南地區受災較為嚴重。其中廣東省、山東省、山西省分列感染量前三,出人意料的是青海感染量位居第五。分布如下圖所示:

DorkBot僵尸網絡近期活躍情況報告

從感染行業來看,政府、教育部門和企業為主要攻擊目標。

DorkBot僵尸網絡近期活躍情況報告

在國內各省份和地區中,廣東省感染量最大。其中企業、政府和教育部門受害嚴重,也基本上與國內整體感染行業的分布較為類似。由此可見,相關行業亟需加強對網絡攻擊的防御。

DorkBot僵尸網絡近期活躍情況報告

樣本分析

病毒流程

DorkBot僵尸網絡近期活躍情況報告

反檢測技術

文件用了多層payload解密的技術,用于躲避安全軟件檢測和干擾調試,最后解密出一個完整的PE文件,包含核心惡意代碼。

DorkBot僵尸網絡近期活躍情況報告

通過字符串終止下列安全軟件進程:

norton、antivirus、symantec、mcafee、eset、avg、avast、avira、kaspersky、checkpoint、grisoft、antivir、bitdefender、windows defender、unlocker、sandboxie、windowsupdate、alwil、avpersonal、sophos、virus、f-secure、trend、ccleaner、malware、norton、internet security、drweb、spyware

注入技術

創建一個同名進程,將解密的PE文件注入進程。

DorkBot僵尸網絡近期活躍情況報告

核心代碼中所使用的API都通過動態獲取函數地址,并且關鍵字符串都需要解密使用。

DorkBot僵尸網絡近期活躍情況報告

創建calc.exe進程進行注入。

DorkBot僵尸網絡近期活躍情況報告

創建svchost.exe進程進行注入。

DorkBot僵尸網絡近期活躍情況報告

結束已有的notepad.exe進程,創建新的notepad.exe進程進行注入。

DorkBot僵尸網絡近期活躍情況報告

傳播模塊

該病毒通過U盤進行傳播,會創建一個窗口用于監聽USB的插入。

DorkBot僵尸網絡近期活躍情況報告

當有U盤插入后,會檢測是否已存在感染的文件,進行刪除,重新感染,并設置文件屬性為隱藏。

DorkBot僵尸網絡近期活躍情況報告

拷貝自身到"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Adobe\Reader_sl.exe",并添加到注冊表自啟動。

DorkBot僵尸網絡近期活躍情況報告

網絡模塊

在calc.exe進程中解密如下url下載文件到受害主機的temp目錄:

http://api.wipmania.com.selfmg.ru/api.gif

http://api.wipmania.com.lotus5.ru/api.gif

http://api.wipmania.com.wipmania.ru/LkwAxD.gif

http://api.wipmania.com.lotys.ru/vJoJAi.gif

http://api.wipmania.com.bwats.ru/OfjTMe.gif

http://api.wipmania.com.stcus.ru/apSPhv.gif

http://api.wipmania.com.cmoen.ru/zkmcHM.gif

http://api.wipmania.com.artbcon3.ru/frfLeC.gif

http://api.wipmania.com.yeloto.ru/zwFMwD.gif

在notepad.exe進程中解密出如下域名:

DorkBot僵尸網絡近期活躍情況報告

DorkBot僵尸網絡近期活躍情況報告

連接C&C端獲取指令。

DorkBot僵尸網絡近期活躍情況報告


福彩3d跨度走势图300期带连线