一、背景
近日，騰訊云鼎實驗室的合作伙伴Panabit于2017年5月26日19點開始，監測到一次大面積網絡攻擊活動，本次活動呈現的最明顯特點是參與攻擊的源地址覆蓋度超級廣泛，幾乎在全國所有省市運營商的骨干網絡上均有明顯活動。據Panabit公司的統計，在線內網攻擊地址數百萬。
據監測，目前攻擊呈現出三個階段：
1、5月26日19點全國大量真實IP地址開始攻擊地址183.60.111.150，一直持續到至28日凌晨3點結束；
2、5月28日早晨7點左右開始攻擊地址59.153.75.7，
3、6月9日攻擊呈現多樣化。
經過對攻擊源機器進行分析，騰訊云云鼎實驗室工程師在機器中發現暗云Ⅲ的變種（暫時命名為暗云Ⅳ），通過對流量、內存DUMP數據等內容進行分析，基本確定本次超大規模ddos攻擊由“暗云”黑客團伙發起。
二、詳細分析
“暗云”是一個迄今為止最復雜的木馬之一，全網普查顯示，感染了數以百萬的計算機，暗云木馬使用了很多復雜的、新穎的技術來實現長期地潛伏在用戶的計算機系統中，關于暗云的分析也可以參考此鏈接。
我們在對目標機器排查中，發現了MBR中可疑rootkit，在對MBR內容進行分析，我們發現肉雞機器的MBR與暗云MBR 中INfectedMBR 與 original MBR的相對位置相同，而且病毒均存儲在3-63 的60個扇區中。
 

 

與此同時我們在對另外一臺機器進行分析的時候，在MBR內容里發現ms.maimai666.com域名內容，機器啟動時候會訪問23.234.4.130的8064端口，這與騰訊電腦管家關于分暗云Ⅲ的木馬在TDI層用udp連接訪問**.maimai666.com的8064端口獲取shellcode”的行為相符。進一步通過獲取到肉雞機器的流量信息，我們發現機器每隔5分鐘會去訪問www.acsewle.com:8877/ds/kn.html;

通過對該域名進行訪問可以發現配置信息，并且存在一個db文件的下載鏈接。

基于域名的訪問對機器的流量抓包，發現發起請求的進程為svchost.exe進程，并且確認父進程為spoolsv.exe。

進一步捕獲svchost.exe的內存數據進行分析，也發現了相關域名的請求信息。

暗云木馬集成了Lua引擎，自身相當于一個下載者，通過對www.acsewle.com:8877/ds/kn.html 訪問下載http://www.acsewle.com:8877/ds/lcdn.db 進行解析執行，實行具體的攻擊行為。

通過對lcdn.db進行解密，可以發現明顯的DDoS攻擊功能。
暗云木馬的發現和清理將進一步凈化網絡環境，騰訊安全團隊將持續為國內互聯網基礎設施安全保駕護航。騰訊云主機安全應用——云鏡系統和騰訊電腦管家已經可以在服務器和用戶個人終端實現對該木馬全面查殺。
三、相關樣本及域名
相關惡意域名如下，廠商可在網關設備上進行攔截：
1、107190.maimai666.com
2、214503.maimai666.com
3、download.maimai666.com
4、maimai666.com
5、ms.maimai666.com
6、q.maimai666.com
7、www.maimai666.com