克日一款名为“暗云”的木马在互联网大规模撒播�,,�,�,,海内已有数百万用户熏染了此木马�。。。�。�。�。
事情的配景是这样的——此前在2017年5月26日�,,�,�,,918博天堂泰合妄想的相助同伴——狼烟台威胁情报同盟成员单位Panabit监测到一次大面积网络DDos攻击活动�,,�,�,,后经腾讯云鼎实验室确定本次超大规模DDos攻击由“暗云”黑客团伙提倡�。。。�。�。�。
对�,,�,�,,绝对认真�。。。�。�。�。这次“暗云”木马恶意撒播事务正是由这个“暗云”黑客团伙提倡�,,�,�,,这个木马具有隐藏性强、潜在危害大、撒播规模广等特点�,,�,�,,其暂只能熏染Windows桌面系统�,,�,�,,被熏染的window桌面系统会自动每隔5分钟会去会见暗云僵尸网络C&C的URL(www.acsewle.com:8877/ds/kn.html)�,,�,�,,接受C&C效劳器发出的指令�,,�,�,,组成僵尸网络�,,�,�,,对目的举行有针对性的DDos攻击�。。。�。�。�。现在已知被DDos攻击的地点如下:
被攻击IP地点 | 所属地区 | 运营商网络 | 所属单位 |
113.105.245.107 | 广东佛山 | 电信 | 佛山某高防 |
182.86.84.236 | 江西上饶 | 电信 | 上饶某高防 |
27.221.30.113 | 山东青岛 | 联通 | 青岛某高防 |
183.60.111.150 | 广东佛山 | 电信 | 某IDC |
详细的信息参考《“暗黑流量”超大规模DDoS溯源剖析》�,,�,�,,其网址为http://mp.weixin.qq.com/s/MYbSHWHE4qpa0XJ3N6nAzw
冷静�,,�,�,,不要怕�。。。�。�。�。针对此次爆发的“暗云”的木马事务�,,�,�,,泰合北斗清静效劳团队紧迫宣布基于泰合清静治理平台的监控及应急处置惩罚指引�,,�,�,,对安排918博天堂清静治理平台并已准确接入涉及网内的清静装备、网络装备、主机等装备�,,�,�,,将流量日志、网络会见日志或DNS请求日志等数据收罗的用户�,,�,�,,可凭证此指引对该木马病毒爆发的情形举行实验监测与处置惩罚�。。。�。�。�。
详细的操作如下:
1、通过“事务”�??�?�?�?�?�,,�,�,,快速检索和盘问内网主机或终端是否已保存有熏染的Windows系统自动会见暗云木马C&C效劳器的行为�,,�,�,,可通过对端口8877的会见行为、指定的URL的会见纪录、指定域名请求日志作为条件等举行检索�。。。�。�。�。
若是盘问出来的日志中“目的地点”字段属于如下地点:23.234.51.251、23.234.51.135、23.234.13.62、23.234.51.39、23.234.13.65或“请求内容”字段的URL或域名包括如下内容:
1 www.acsewle.com:8877/ds/kn.html
2 107190.maimai666.com
3 214503.maimai666.com
4 download.maimai666.com
5 maimai666.com
6 ms.maimai666.com
7 q.maimai666.com
8 www.maimai666.com
说明日志中的源地点可能熏染了“暗云”木马病毒�,,�,�,,需要对源地点进一步的查证�。。。�。�。�。
2、建设威胁情报库:在视察列表中�,,�,�,,增添“暗云”木马病毒CC地点和“暗云”木马病毒URL库�,,�,�,,将上述IP地点、域名和URL加入到响应的威胁情报库中�。。。�。�。�。
3、建设基于威胁情报“L2_MC_暗云木马病毒毗连”的关联剖析规则�,,�,�,,设置的规则条件如下:装备类型最先与清静装备&目的地点即是8877&目的地点引用威胁情报库:“暗云”木马病毒CC地点或请求内容引用威胁情报库:“暗云”木马病毒URL�。。。�。�。�。
4、基于清静治理平台的应急响应:通过清静治理平台的关联剖析规则�,,�,�,,实现实时从海量日志数据中找出熏染“暗云”木马的主机或终端会见C&C效劳器的异常行为�,,�,�,,并实时爆发告警�,,�,�,,通过短信或邮件的方法通知受影响资产的责任人�,,�,�,,或者在清静治理平台上通过 “工单流程”实现告警的派发与处置惩罚进度状态跟踪�。。。�。�。�。也可直接联系泰合北斗效劳团队�,,�,�,,我们将会对您购置的泰合清静治理平台规则库举行升级处置惩罚�。。。�。�。�。
手艺大叔说“暗云”是一个迄今为止最重大的木马之一�,,�,�,,为了恒久地潜在在用户的盘算机系统中�,,�,�,,它运用了更多的新型的、重大的手艺手段�,,�,�,,以是才华在短短一个月就熏染了数以百万台盘算机�。。。�。�。�。
不过俗话说的好�,,�,�,,魔高一尺�,,�,�,,道高一丈�,,�,�,,泰合北斗清静效劳团队紧迫宣布基于泰合清静治理平台的监控及应急处置惩罚指引�,,�,�,,可凭证此指引对该木马病毒爆发的情形举行实验监测与处置惩罚�,,�,�,,企业清静可以不慌啦~!
(泉源:918博天堂)
京公网安备11010802024551号