数万台设备已被影响！疑似DDOS团伙Blackmoon再现江湖

恶意家族名称：

BlackMoon

威胁类型：

僵尸网络

简单描述：

BlackMoon 是一款僵尸网络，曾于 2022 年 1 月至 3 月大规模爆发。该僵尸网络能够与 C2 服务器连接，并通过C2服务器下达的指令对指定目标实行不同类型的 DDOS 攻击，导致目标可能遭受服务器瘫痪、核心数据被窃等损失。

恶意文件分析

1.恶意文件描述

近期，深信服深盾终端实验室在运营工作中发现了一款僵尸网络病毒，通过跟踪监测发现，该病毒近期肉鸡控制规模已达 6 万以上。

经分析，该病毒所使用的网络资产与 DDOS 团伙 BlackMoon 的网络资产存在重叠。该病毒已产生一次变种，但功能基本一致，均由对应 C2 下达指令对目标 IP发起 DDOS 攻击。该攻击占用宿主机大量资源，同时被攻击目标也将遭受网站堵塞、服务器瘫痪等巨大威胁。

2.恶意文件分析

该僵尸网络病毒样本由 go 语言编写。

在初次运行时，该样本会通过查询注册表键值以获取当前宿主机名称等信息，并将在后续功能中使用到该类信息。

随后程序通过 TCP 协议与 C2 服务器进行远程通信。程序会将硬编码在样本中的域名作为 C2 地址。

与 C2 服务器建立连接之后，程序首先向 C2 服务器发送一个 “ok” 字符串，并进入预定时长等待。

若 C2 服务器接收到该请求，将会回复字符串 “1337”。该阶段表示样本成功上线，随后病毒进入第一次循环监听状态，等待接受 C2 服务器下达的指令。

当 C2 发送第一轮指令时，病毒对接受的指令进行判断，并进入对应的 DDOS 攻击类型分支，如 post、http 等。

随后病毒创建一个周期性计时器，在有效时间内进入第二次监听状态，等待 C2 服务器下发第二轮指令，包括但不限于需要攻击的 IP 或域名。

病毒还会根据之前获得的宿主机信息，判断操作系统是 Windows 还是 Android、IOS，将取得的结果进行比对后，不同的操作系统执行 DDOS 攻击时会采用不同的UA，不同的攻击类型也会拥有不同的请求头。

C2 指令形式大致如下：

情报关联分析

本次样本于 2023 年 2 月 2 日发现，为变种样本，活动最早可追溯至 2022 年 7 月。

在情报识别中，样本下载链接与 DDOS 团伙 BlackMoon 团队曾使用的网络资产重叠，故初步判断此次僵尸网络事件所属团伙可能为 BlackMoon。

以下是情报的具体流程图：

原始样本与变种样本功能相似，不同点在于通信协议较多，且不判断系统，下图是原始样本功能场景：

IOCs

B34D7ED024EC71421EAA857E98E5B2E2

57ACC280049394A4FE8581D7A29D1F6B

83DD26840EE3606A406553F82DDB66B9

4AE2CDF1BB4E2A53B40FBA1024911E10

3FF63F13497A2F8271634166B585CB7C

ddc.wuxianlequ.com

yyy.wuxianlequ.com

8.219.160.241

8.218.16.68

8.219.214.251

解决方案

处置建议

1. 避免将重要服务在外网开放，若一定要开放，需增加口令复杂度，避免使用弱口令。

2. 避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

3. 安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。

4. 使用官方和经过验证的下载渠道，使用正版开发人员提供的工具/功能激活和更新产品，不建议使用非法激活工具和第三方下载器，因为它们通常用于分发恶意内容。

深信服解决方案

【深信服终端安全管理系统EDR】已支持查杀拦截此次事件使用的病毒文件，请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本，设置相应的防护策略，获取全方位的勒索防护；

【深信服检测响应平台XDR】已支持检测该新型木马的恶意行为，请更新软件（如有定制请先咨询售后再更新版本）和 IOA 规则库、IOC 规则库至最新版本，设置相应的检测策略，获取全方位的高级威胁检测能力；

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服云平台，"云鉴" 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入云图，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全"持续有效"为目标，通过将用户安全设备接入安全运营中心，依托于 XDR 安全能力平台和 MSSP 安全服务平台实现有效协同的 "人机共智" 模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供 7*24H 的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。