互联网"暗流"涌动,新型木马网络大面积来袭【转载】

2017-08-04 Ever

近日,“烽火台”威胁情报联盟发现多个异常域名突发流量,疑似利用20万台左右的“肉鸡”流量进行推广恶意软件。我们称该组织为“暗流”,分析发现“暗流”恶意活动“肉鸡”数量庞大、千万级海量网络访问,有着非常明确的目标。短时高并发的网络流量给局部运营商的网络造成了巨大压力,我们认为这背后的团伙利用高度自动化工具,推广恶意软件,并利用获取的网络资源客户端进行非法获利。


一、背景                                       

“暗流”组织系列活动源自“烽火台”威胁情报联盟在2017年7月28日到2017年7月29日的网络流量监控,发现多个域名的访问量突增,某节点的单个win.geelai.cn异常域名访问量2天突破60万次远远超过互联网主流网站域名访问。

1501814429233087.jpg

在相同的时间内同时发现了9个类似的行为,均为新运营的网站,短时间突发的访问流量达到了千万次,给局部的运营商网络造成了重大影响。同时这些突发的随机终端流量同时涌向了某运营商,正是这些近20万台左右的随机客户端,引起了我们怀疑。

 

二、互联网暗流与恶意软件

为了搞清楚异常网站的流量来源,我们对“暗流”近几天的活动进行了进一步调查。

首先,我们查询了已发现 9个异常域名,部分网站显示内容一致均为提供雨林木风Ghost OS下载及小马一键重装工具,我们通过注册信息及备案信息发现与之显示的网站内容并无关联,我们猜测下载推广恶意软件才是他们的目标。

1501814446401238.jpg

大量的访问请求都是在同一时间,这并不符合一个非主流网站的访问情况,且都只访问网站的首页地址,并不进入其它子页面;显示这不是正常一个自然人的访问,极有可能是机器所为。 

1501814464416944.jpg

我们对20万台左右的随机客户端分析发现,向恶意域名发起大量请求的IP地址分布较广,IP地址国家归属有上百个,但主要分布在美国、中国、日本。

1501814480205978.jpg

三、总结


在此我们发布预警,请审计自己网络内近期是否有上述地址访问,并及时对感染终端进行排查,极有可能感染了新型木马程序。不管“暗流”组织拥有并利用这么多的网络资源进行刷网站排名,还是推广恶意软件,都应该引起我们的警觉,决不允许出现第二个“暗云”组织。

准入控制技术可以有效解决这类问题。对接入内网的终端进行DNS请求分析,能够发现这些大量的非法异常DNS请求。艾科网信ID网络安全管理系统(IDNac)通过对内网终端进行隔离,然后进行DNS请求分析,协助管理员发现这些异常DNS请求,同时对内网终端进行隔离,防止恶意软件携带终端接入到内网,禁止其在内网传播。结合IDNac的主机软件检查功能,对接入内网的终端进行合规性检查,强制终端安装并更新杀毒软件,保障内网终端的安全性,防止病毒携带终端接入到内网。对恶意软件黑名单化,拒绝装有恶意软件的终端接入内网。

“烽火台”威胁情报联盟将对“暗流”组织的后续活动及推广的样本继续进行调查追踪。