您目前的位置: 首页» 智慧源» 关于暗云botnet的网络应急防御

关于暗云botnet的网络应急防御

CERNET黑龙江用户网络空间安全工作组根据Panabit提供的威胁情报,监测到目前互联网有大量的机器感染暗云botnet,通过Panabit,腾讯云鼎实验室,安天等合作伙伴的分析发现,该僵尸网络网络的cc域名为: www.acsewle.com。该僵尸网络的部分变种利用Bootkit技术,将恶意代码驻留在MBR,并采用Rootkit技术,躲避安全防护软件的检测。受害主机每五分钟连接该恶意域名,协议为http端口为8877。经溯源发现此僵尸网络发动了5.28日的Rainbowday ddos攻击。
        
                        
 

1、通过日志系统,对内网ip对于23.234.51.15523.234.13.9123.234.51.3523.234.51.14523.234.51.4223.234.13.6423.234.51.12323.234.51.7523.234.51.25ip8877端口的访问进行溯源,确定感染主机。

2、须对感染的主机数据进行备份,采用腾讯的专杀工具http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/anyun3_killer.exe进行查杀,(有可能出现蓝屏,重启即可),或者在备份后运行fdisk /mbr 恢复mbr,重新安装正版操作系统并进行系统升级(windows update)。

3、切断受害主机对次cc的访问,可以在域名服务器将此ip指向127.0.0.1。在出口防火墙丢弃对23.234.51.15523.234.13.9123.234.51.3523.234.51.14523.234.51.4223.234.13.6423.234.51.12323.234.51.7523.234.51.25ip的访问。
                    

哈尔滨工业大学网络与信息中心

CERNET黑龙江用户网络空间安全工作组

2017610
感谢:重庆巴南区网信办,腾讯云鼎实验室,烽火台威胁情报联盟,Panabit,立普威陆(重庆)科技有限公司,安天实验室,其他不愿意透漏名字的安全伙伴

 

参考链接

 “暗黑流量”超大规模DDoS溯源分析

http://mp.weixin.qq.com/s/MYbSHWHE4qpa0XJ3N6nAzw

“暗云”BootKit木马详细技术分析

http://www.freebuf.com/vuls/57868.html

暗云ⅡBootKit木马分析

http://www.freebuf.com/articles/system/109096.html

暗云Ⅲ BootKit 木马分析

http://tav.qq.com/index/newsDetail/265.html

暗云木马专杀工具http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/anyun3_killer.exe