暗云III木马程序安全威胁通告
2017-06-15
近日,一款名为暗云III的木马被发现在网络上有大面积的攻击行为,该木马通过下载站点大规模传播,随后会感染磁盘MBR来实现开机自动,大量用户被检测到受感染。
攻击者可以将受感染的用户可以作为僵尸网络来进行分布式拒绝服务攻击(DDoS), 劫持流量来牟利等。
参考链接:
http://www.freebuf.com/articles/system/134017.html
https://www.leiphone.com/news/201706/7pcuo6TVrAJO5UY4.html
木马行为概述
攻击者通过patch正常的游戏微端将shellcode捆绑到正常的程序中来进行推广传播。通过不同的patch代码,不同的shellcode将会被执行,包括替换原本加载的资源并调用新的shellcode来加载PE文件,该PE文件会对各种条件进行判断,只有符合条件才会下载暗云III的感染程序到本地。这些条件包括检测是否为虚拟机,是否位于网吧,是否检测到杀毒软件等。在满足这些条件后,暗云程序会感染并修改MBR,实现在系统中潜伏并在系统每次运行时调用其内的另一shellcode。该shellcode会随后下载更多的模块以及配置文件,攻击者可以通过配置文件对感染的主机发布指令。
建议方案
1. 用户行为
- 用户应该提高上网安全意识,在官方站点下载应用软件,以免下载到被木马感染的软件。
- 定期备份重要的文件及数据,保证敏感信息的安全。
2. 终端防护产品
用户应该在本地主机上安装终端防护产品,如金山V8+企业安全终端,及时发现与查杀恶意软件。
3. 软件检测
在未安装终端防护软件的情况下,针对从网络下载下来的不明软件可以通过NSFOCUS威胁分析中心(https://poma.nsfocus.com/)进行信誉分析或者提交TAC产品进行安全监测。
4. 服务类
- 短期服务:44118太阳成城集团工程师现场木马后门清理服务。确保即刻消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
- 中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。长期对此恶意样本进行检测,保护客户系统安全。
- 长期服务:基于行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)
