前沿技术

66期报告汇总
安天发布《Mayday家族样本分析报告》
 
      近日,经过安天追影小组对Trojan[DDoS]/Linux.Mayday家族的分析监控,获知该家族的最近两次攻击活跃时间,并监控到Mayday家族参与了2016年10月的Dyn攻击。该家族样本最早版本在2013年末就已经出现,到现在已经衍生8个版本。开始从样本硬编码IP类型的C2,过渡到通过域名查询获取动态C2的IP。

      尽管Mayday家族的版本一直在衍生和完善,但其通信协议等基本框架并没有变,DDoS攻击类型也基本没有变化,主要包括:dns flood,tcp flood,udp flood,cc flood,icmp flood这几种攻击方式。通过对Mayday家族样本分析比较,发现虽然样本在常驻“肉鸡”——样本备份和自启动方面仍有完善的空间,但是样本的模块封装十分完善,条理清晰,这也是家族版本能快速衍生的原因之一。其中主要封装的CTaskInfo(指令任务处理)模块(类),CManager(消息处理)模块,CNetBase(网络处理)模块,CServerIP(与CNC数据交互)模块,CStatBase(状态信息-或许系统版本配置等信息)模块。

      通过长期监控获知,Mayday家族的僵尸网络控制节点主要分布于国内,也有相当一部分分布于美国,而国内的主要分布于东部沿海的省份,集中于苏浙两省。Mayday DDoS在近两个月中,相对比较活跃的周期为9月中旬-10月上旬、11月5日-11月10日,两个周期中都有5W+ 次攻击目标。其中11月5日-11月10日是一个井喷式爆发期,每天有20W+ 次攻击目标,发动攻击控制节点主要分布于美国,且攻击目标也集中于美国。在Mayday DDoS沉默期间,还监控到Mayday DDoS也参与10月下旬对美国Dyn的DDoS攻击,根据僵尸控制节点量预计攻击流量贡献达80G+。

      Mayday发展至今已是Linux x86僵尸网络的常见家族,该家族的出现并快速遍布于互联网,严重影响互联网的安全健康发展,损坏了广大网民安全利益,损耗互联网及设备资源。经过安天追影小组的长期监控与跟踪,从目前掌握的情况看,Mayday家族目前还没有样本备份和自启动,因此,如果计算机被植入Mayday家族只需要删除样本并重新启动即可。
按访问者
政府
运营商
金融
能源
合作伙伴
新闻媒体
求职者
关于我们
公司概况
工作机会
大事记
部分客户
公司荣誉
诚聘英才
常用链接
产品综述
终端侧安全
威胁深度鉴定
引擎类
态势感知
威胁响应
公告与报告
服务与支持
服务与支持
软件升级
售后服务
安全培训服务
安全技术服务