近期,国家计算机网络应急技术处理协调中心监测发现BlackMoon僵尸网络在互联网上进行大规模传播,通过跟踪监测发现其1月控制规模(以IP数计算)已超过100万,日上线肉鸡数最高达21万,给网络空间带来较大威胁。具体情况如下:
一、僵尸网络分析
(一)相关样本分析
该僵尸网络大规模传播的样本涉及10个下载链接、6个恶意样本,样本分为两类:一类用于连接C2,接受控制命令的解析程序,包括Yic.exe、nby.exe、yy1.exe、ii7.exe、ii8.exe;另一类为执行DDoS攻击的程序,为Nidispla2.exe,DDoS攻击程序可以通过不同的方式发送DDoS攻击,并且可以使用不同的UA头进行攻击。
(二)传播方式分析
该BlackMoon僵尸网络传播方式之一是借助独狼(Rovnix)僵尸网络进行传播。独狼僵尸网络通过带毒激活工具(暴风激活、小马激活、 KMS等)进行传播,常被用来推广病毒和流氓软件。
二、僵尸网络感染规模
2022年1月15日至2月22日BlackMoon僵尸网络日上线肉鸡数最高达到21万台,累计感染肉鸡数达到237万,几乎均为境内主机。
三、防范建议
请各单位强化风险意识,加强安全防范,避免不必要的损失,主要建议包括:
不要点击来源不明邮件。
不要打开来源不可靠网站。
不要安装来源不明软件。
4、不要插拔来历不明的存储介质。
当发现主机感染僵尸木马程序后,建议立即核实主机受控情况和入侵途径,并对受害主机进行清理。