僵尸网络Dnamic家族

安天追影小组近日在网络监控中发现一个未知的僵尸网络家族,其被控端样本经过本地多家杀毒引擎检测发现其具有免杀功能且发现该家族为DDoS类型的样本,在分析过程中发现其多次出现“Dnamic”标志性字符串,因此取名为Trojan[DDoS]/Linux.Dnamic,目前得到Dnamic家族的bot被控端样本主要适用于linux x64环境,其在2017年2月最早被发现,可推测其功能还在开发完善中,分析发现目前其功能比较单一,仅实现DDoS攻击,并没有如自启动、横向感染等功能。

分析介绍:

Dnamic家族bot被控端主要包括以下2个功能:
1、连接C2与数据发送。Dnamic家族和常见的Win/linux x86/x64家族一样,都需要获取受害系统的系统配置信息作为bot被控端的首包和心跳包的数据包信息。
2、DDoS攻击。bot被控端在运行后,在创建向C2发送数据的同时,会创建一个线程独立负责接收C2向bot发送的相关指令,且只支持现有的attack DDoS,Stop attack DDoS两种类型执行指令,并没有像其它成熟的DDoS家族一样还支持Update File、Shell comman等类型执行指令。从目前的样本分析得知,Dnamic家族目前attack DDoS仅是实现'syn flood'、'atk flood'、'tcp flood' 3种类型的DDoS攻击。
虽然Dnamic家族是新出现的DDoS家族,其一些DDoS 木马基础功能上目前还未完善,但bot被控端攻击类型,在短短1天内能实现从单一的'atk flood'攻击类型,增加了'syn flood'、'tcp flood'两种攻击类型,可推测Dnamic家族的作者有较强的开发能力。

总结:

经过对Dnamic家族的分析发现其对互联网安全会造成一定的威胁,特别是其具有免杀当前主流杀毒引擎的优势,可以助其快速扩散蔓延,继而伺机对互联网的某个目标进行DDoS攻击。从目前的样本分析得知,若系统被植入该家族的bot被控端,只需要删除bot被控端文件后及时更新系统及软件,修复已知存在的漏洞即可,若后期该家族的被控端实现自启动功能,还需要将其及其备份文件清除,并且清除关联到的自启动项,安天追影小组会继续监控该家族的动态,及时发现该家族的进一步扩散。

MD5:

a017d35ee1a637029de3a7c1ee120de9