股票代码:688225
Menu

产品全景图 >

云安全
终端安全
高级威胁治理
网络与通信安全
安全管理
身份安全
数据安全
态势感知
工业安全
信息技术应用创新
SaaS服务

安全服务 >

安全运营 >

云安全
信舱云主机安全【DeepSecurity】
信池云安全管理平台【AISDSEC】
终端安全
TrustOne新一代终端安全
高级威胁治理
信桅高级威胁监测系统【TDA】
信桅高级威胁分析系统【DDAN】
信桅高级威胁邮件防护系统【DDEI】
信桅蜜罐系统【AISBIG】
信池统一安全管理平台【UAP】
网络与通信安全
信舷网络威胁入侵防护系统【AISTPS】
信舷防毒墙【AISEDGE】
信舷防火墙系统【AISFW】
信桨网络流量审计分析系统【SpiderFlow】
信舷抗拒绝服务系统【AISADS】
信舷网页防篡改系统【AISWD】
信舷安全隔离与信息交换系统【AISIES】
域名服务和地址分配及管理系统【DDI】
DNS全业务域名解析系统【AISDNS】
集中IPoE接入认证系统【AISDHCP】
信磐互联网接入认证系统【AISOBS】
信舷上网行为审计系统【AISACG】
信舷WEB应用防火墙系统【AISWAF】
安全管理
日志审计分析系统【AIRDS】
漏洞扫描系统【SpiderScan】
身份安全
信磐堡垒机【AISIFORT】
信磐零信任访问控制系统【AISDP】
信磐统一身份认证与访问管理系统【AISIAM】
数据安全
信数多方计算平台【AISMPC】
信数数据库访问控制【AISDBAC】
信数数据库防火墙【AISDBFW】
信数数据脱敏系统【AISDM】
信数数据库审计系统【AISDBA】
信数数据安全治理平台【AISDSG】
态势感知
信舵安全管理与分析平台【MAXS】
工业安全
信桨工控防火墙【ICFireWall】
信桨工业流量审计分析系统【ICFlow】
信桨工业主机安全加固【ICHost】
信桨工业安全管理平台【ICSMP】
信桨工业安全隔离与信息交换系统 【ICGAP】
信桨工业运维安全管理与审计系统【ICOPS】
信桨工控等保检查工具箱【ICSI】
信息技术应用创新
信创DHCP系统
信创DNS全业务域名解析系统
信创AAA系统
信创零信任访问控制系统
信创统一帐号认证授权平台
信创防毒墙系统
信创高级威胁监测系统
信创WEB应用防火墙系统
信创防火墙系统
SaaS服务
天穹共享免疫SaaS系统【ImmunityOne】
安全运营
MSS托管安全运营
热点推荐
<
|
>
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

威胁Xin解析 | 亚信安全抗击Mozi僵尸网络攻击纪实
发布时间 :2021年09月09日
分享:

Mozi僵尸网络攻击再现


突发 > 8月29日1时,亚信安全专家运维团队接到告警,用户内网环境的XDR日志中出现大量可疑流量。

定性 > 1时07分,亚信安全锁定用户内网一台设备,其流量命中P2P僵尸网络Mozi的流量特征,确定为Mozi僵尸网络攻击。

处置 > 2时26分,亚信安全成功完成失陷主机的遏制,获取Mozi样本,对失陷主机进行病毒清除。


1.jpg



Mozi攻击事件复盘

2.jpg


2021年8月29号凌晨, 亚信安全UAP平台所收集的TDA告警日志反映,预设策略“Mozi Botnet DHT Config Sent”被命中


1时7分14秒,客户内网一台设备尝试外联,其流量命中P2P僵尸网络Mozi的流量特征。正在向182.124.24[.]231发送请求,等待C2 Server (Mozi Master)下发名为Config的有效载荷。


3.jpg

29日凌晨2时13分,排查临近bitorrent流量相近时间段告警,定位到该主机在该时段的相关可疑流量日志。其中包含多条FTP流量告警和一条TCP流量告警。发生在同一时间段的FTP可疑流量,其目的主机名皆为化名“user-pc”的内网设备。展开后的FTP告警详情显示,命中的策略描述同为“Unsuccessful logon - FTP”;判断攻击者尝试对主机进行暴力破解。


4.png


同一时间,内网设备“user-pc”尝试外联名为“163-172-206-67.rev.poneytelecom[.]eu”的设备,该TCP流量被规则命中,提示“Miner-TCP (REQUEST)”;亚信安全专家确定,攻击者尝试将失陷主机用于非法挖矿,以谋取直接利益。


5.png


2时23分,鉴于用户的内网设备安装有亚信安全EDR Agent,在SaaS管理端确认失陷主机内的agent仍处于在线状态后。亚信安全专家向失陷设备发送遏制指令,控制威胁的源头,防止病毒横向传播。

6.png



2时26分,管理端显示失陷主机遏制成功;亚信安全专家通过EDR SaaS内置的调查分析功能进一步定位恶意软件;搜索失陷主机的过往进程记录,通过事件时间节点,找到相近时间戳下的进程。搜索结果如下,在29日1时07分,一个名为figure.scr的文件执行,触发了一系列操作。


7.png

提取EDR SaaS的进程树,更明晰的展现了该可执行文件的行为;从其释放的大量pyd文件,初步判断,该Mozi样本是一个由pyinstaller打包的可执行文件,位于%TEMP%\figure\路径下。

8.png9.png10.png


29日2时49分,亚信安全专家登录失陷主机,获取到figure.scr的Mozi样本;并对失陷主机进行病毒清除。



回顾攻击,Mozi的攻击者首先通过水坑攻击感染目标主机,并植入预设脚本,以定时下载并执行Mozi样本figure.scr;执行后,Mozi僵尸网络中的Bots开始对客户网络中可访问的FTP服务实施暴力破解;同时,失陷主机向C2 Server (Mozi Master) 发起请求,要求下发名为Config的有效载荷,获取Mozi恶意样本的下载地址,以达到将失陷主机囊括入僵尸网络的目的;此外,失陷主机执行挖矿指令,向矿池发送TCP请求。


11.jpg


病毒样本分析


计算样本的File ID后,在超洞察威胁威胁情报平台上查询该样本,发现该恶意文件被标注为Coinminer.Win32.MALXMR.TIAOODEL。


12.jpg

将现有样本投入沙箱,从释放的文件中挖掘出犯罪团伙的矿池地址,钱包信息和选用的矿机样本;根据威胁情报,所释放的可执行文件xmrig.exe (sha256: 4bf737b29ff521bc263eb1f2c1c5ea04b47470cccd1beae245d98def389929bd) 是一款开源门罗币矿机,犯罪分子意图将失陷设备连入矿池,执行挖矿操作,并把所得收益存入预设钱包。

13.jpg


 (矿池和钱包信息)


对比过往样本分析产生的流量,发现该样本流量中有明显的Mozi僵尸网络通信特征。流量对比如下所示:

14.jpg

(此次事件样本的udp通信流量)

15.jpg

(过往Mozi样本流量)



结合过往事件,Mozi传播过程中,目标主机将向僵尸网络请求下发Config文件,以获取恶意样本下载地址;Bots节点,对目标主机尝试暴力破解或漏洞利用,目的是从该Bot已知的地址下载恶意样本;在受感染设备上执行Mozi样本,使其加入P2P僵尸网络,并在C2 Server的命令下执行恶意行为。

16.jpg



僵尸网络攻击,“屡治不绝”的伤


亚信安全超洞察威胁情报团队指出,Mozi相对于前期版本,针对DDoS攻击和传播感染的效率都做出了增强;该更新具体体现在该僵尸网络实现了控制和业务节点的分离,这也促成其可以将实际业务从原有网络体系中解放出来,极大的提升了Mozi的功能弹性;甚至Mozi的开发者可以将俘获的基础设施租赁给其他犯罪团伙,而非初始阶段单纯借助僵尸网络发起DDoS攻击。


因此,一个僵尸攻击的阻截,不代表僵尸网络的停摆,面对“屡治不绝”的攻击,安全人员应该提高警惕,加强应对和预防的手段和措施:


  • 多维度的检测手段实现对入侵僵尸网络木马的感知;

  • 通过端点防护类产品遏制威胁进一步的传播;

  • 通过EDR产品汇聚的安全事件上下文,准确定位到内部失陷的主机、进程等详细信息,快速掌握事件的威胁画像,完成及时响应。


17.jpg


处置建议:

  • 常态化升级IOT系统清除已知漏洞;

  • 定期更换密码;

  • 避免使用弱口令;

  • 只开放必要端口,加强网络流量检测。

上一篇:勒索软件赎金居高不下,大终端安全直击要害

下一篇:高危!Microsoft MSHTML远程代码执行漏洞(CVE-2021-40444)安全风险通告

返回列表
分享到微信
X