前沿技术

47期报告汇总
 
安天发布《DDOS攻击之鬼影DDOS家族分析》

 
       近日,安天追影小组发现了大量的鬼影DDOS家族变种,并在进行网络通信流量监控时发现,异常通信行为中占比最大的正是鬼影DDOS家族,安天追影小组随即对其进行了分析。
 
       样本分析
 
       1. 样本运行后会在系统目录下释放以6为随机字符为名称的PE文件,并创建该名称的进程,还会为其创建特定服务名称的服务项,以完成自身自启动的目的。
       2. 创建互斥量,互斥量大多情况与服务名相同。
       3.释放名称为hra33.dll或gei33.dll的文件,同时在所有系统应用程序目录下释放其复制体,名称为lpk.dll,用以劫持系统lpk.dll文件。
       4.有些变种还会开启线程对局域网的主机进行弱密码猜解,猜解成功后会直接自复制到目标主机的共享目录中(admin$\C$\D$\E$\F$),然后去感染局域网其他用户。
       5.一些变种也会使用到Rootkit、不死进程等方式存活。
       6.完成感染主机后,样本就会开启线程与C2进行通信,并根据接收的命令进行相关的操作。
 
       解决方案
 
       1.查看进程列表和系统目录C:\Windows\System32或C:\Windows目录下,是否有随机以6为字符为名称的进程和文件。关闭进程,删除文件。
       2.删除相应的服务项。
       3.下载系统lpk.dll文件,替换到C:\Windows\System32\lpk.dll,并删除系统中其他所有lpk.dll文件,及gei33.dll或hra33.dll文件。
       4.由于手动删除较为麻烦,建议用户更新杀毒软件病毒库,并定期检测。
 
       总结
 
       经分析,黑客利用包括鬼影DDOS家族在内的DDOS恶意代码进行攻击时,大多会采用阶段性攻击方式,一般表现为受害端机器暂时卡顿一段时间,使受害者认为是网络问题,而不会意识到自身机器被感染,从而增强了恶意代码的生存周期。
 
       同时,DDOS攻击对网络财产、隐私等内容进行窃取,并从中获利,在利益的驱动下,DDOS攻击业务必然快速滋生,对政府单位、企业、事业、个人等正常服务网站和其他网站系统造成巨大的威胁,对网络安全环境造成极大的危害。安天建议广大用户加强网络安全防护意识,定期更新杀毒软件病毒库,对此类威胁进行检测查杀。
 
 
按访问者
政府
运营商
金融
能源
合作伙伴
新闻媒体
求职者
关于我们
公司概况
工作机会
大事记
部分客户
公司荣誉
诚聘英才
常用链接
产品综述
终端侧安全
威胁深度鉴定
引擎类
态势感知
威胁响应
公告与报告
服务与支持
服务与支持
软件升级
售后服务
安全培训服务
安全技术服务