一、背景
近日，騰訊云鼎實驗室的合作伙伴Panabit于2017年5月26日19點開始，監(jiān)測到一次大面積網(wǎng)絡(luò)攻擊活動，本次活動呈現(xiàn)的最明顯特點是參與攻擊的源地址覆蓋度超級廣泛，幾乎在全國所有省市運營商的骨干網(wǎng)絡(luò)上均有明顯活動。據(jù)Panabit公司的統(tǒng)計，在線內(nèi)網(wǎng)攻擊地址數(shù)百萬。
據(jù)監(jiān)測，目前攻擊呈現(xiàn)出三個階段：
1、5月26日19點全國大量真實IP地址開始攻擊地址183.60.111.150，一直持續(xù)到至28日凌晨3點結(jié)束；
2、5月28日早晨7點左右開始攻擊地址59.153.75.7，
3、6月9日攻擊呈現(xiàn)多樣化。
經(jīng)過對攻擊源機(jī)器進(jìn)行分析，騰訊云云鼎實驗室工程師在機(jī)器中發(fā)現(xiàn)暗云Ⅲ的變種（暫時命名為暗云Ⅳ），通過對流量、內(nèi)存DUMP數(shù)據(jù)等內(nèi)容進(jìn)行分析，基本確定本次超大規(guī)模ddos攻擊由“暗云”黑客團(tuán)伙發(fā)起。
二、詳細(xì)分析
“暗云”是一個迄今為止最復(fù)雜的木馬之一，全網(wǎng)普查顯示，感染了數(shù)以百萬的計算機(jī)，暗云木馬使用了很多復(fù)雜的、新穎的技術(shù)來實現(xiàn)長期地潛伏在用戶的計算機(jī)系統(tǒng)中，關(guān)于暗云的分析也可以參考此鏈接。
我們在對目標(biāo)機(jī)器排查中，發(fā)現(xiàn)了MBR中可疑rootkit，在對MBR內(nèi)容進(jìn)行分析，我們發(fā)現(xiàn)肉雞機(jī)器的MBR與暗云MBR 中INfectedMBR 與 original MBR的相對位置相同，而且病毒均存儲在3-63 的60個扇區(qū)中。
 

 

與此同時我們在對另外一臺機(jī)器進(jìn)行分析的時候，在MBR內(nèi)容里發(fā)現(xiàn)ms.maimai666.com域名內(nèi)容，機(jī)器啟動時候會訪問23.234.4.130的8064端口，這與騰訊電腦管家關(guān)于分暗云Ⅲ的木馬在TDI層用udp連接訪問**.maimai666.com的8064端口獲取shellcode”的行為相符。進(jìn)一步通過獲取到肉雞機(jī)器的流量信息，我們發(fā)現(xiàn)機(jī)器每隔5分鐘會去訪問www.acsewle.com:8877/ds/kn.html;

通過對該域名進(jìn)行訪問可以發(fā)現(xiàn)配置信息，并且存在一個db文件的下載鏈接。

基于域名的訪問對機(jī)器的流量抓包，發(fā)現(xiàn)發(fā)起請求的進(jìn)程為svchost.exe進(jìn)程，并且確認(rèn)父進(jìn)程為spoolsv.exe。

進(jìn)一步捕獲svchost.exe的內(nèi)存數(shù)據(jù)進(jìn)行分析，也發(fā)現(xiàn)了相關(guān)域名的請求信息。

暗云木馬集成了Lua引擎，自身相當(dāng)于一個下載者，通過對www.acsewle.com:8877/ds/kn.html 訪問下載http://www.acsewle.com:8877/ds/lcdn.db 進(jìn)行解析執(zhí)行，實行具體的攻擊行為。

通過對lcdn.db進(jìn)行解密，可以發(fā)現(xiàn)明顯的DDoS攻擊功能。
暗云木馬的發(fā)現(xiàn)和清理將進(jìn)一步凈化網(wǎng)絡(luò)環(huán)境，騰訊安全團(tuán)隊將持續(xù)為國內(nèi)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施安全保駕護(hù)航。騰訊云主機(jī)安全應(yīng)用——云鏡系統(tǒng)和騰訊電腦管家已經(jīng)可以在服務(wù)器和用戶個人終端實現(xiàn)對該木馬全面查殺。
三、相關(guān)樣本及域名
相關(guān)惡意域名如下，廠商可在網(wǎng)關(guān)設(shè)備上進(jìn)行攔截：
1、107190.maimai666.com
2、214503.maimai666.com
3、download.maimai666.com
4、maimai666.com
5、ms.maimai666.com
6、q.maimai666.com
7、www.maimai666.com