近日,一款名为暗云III的木马被发现在网络上有大面积的攻击行为,该木马通过下载站点大规模传播,随后会感染磁盘MBR来实现开机自动,大量用户被检测到受感染。
攻击者可以将受感染的用户可以作为僵尸网络来进行分布式拒绝服务攻击(DDoS), 劫持流量来牟利等。
参考链接:
http://www.freebuf.com/articles/system/134017.html
https://www.leiphone.com/news/201706/7pcuo6TVrAJO5UY4.html
木马行为概述
攻击者通过patch正常的游戏微端将shellcode捆绑到正常的程序中来进行推广传播。通过不同的patch代码,不同的shellcode将会被执行,包括替换原本加载的资源并调用新的shellcode来加载PE文件,该PE文件会对各种条件进行判断,只有符合条件才会下载暗云III的感染程序到本地。这些条件包括检测是否为虚拟机,是否位于网吧,是否检测到杀毒软件等。在满足这些条件后,暗云程序会感染并修改MBR,实现在系统中潜伏并在系统每次运行时调用其内的另一shellcode。该shellcode会随后下载更多的模块以及配置文件,攻击者可以通过配置文件对感染的主机发布指令。
建议方案
- 用户行为
- 用户应该提高上网安全意识,在官方站点下载应用软件,以免下载到被木马感染的软件。
- 定期备份重要的文件及数据,保证敏感信息的安全。
- 终端防护产品
用户应该在本地主机上安装终端防护产品,如金山V8+ 企业安全终端,及时发现与查杀恶意软件。
- 软件检测
在未安装终端防护软件的情况下,针对从网络下载下来的不明软件可以通过NSFOCUS 威胁分析中心(https://poma.nsfocus.com/)进行信誉分析或者提交TAC产品进行安全监测。
- 服务类
- 短期服务:绿盟科技工程师现场木马后门清理服务。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
- 中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。长期对此恶意样本进行检测,保护客户系统安全。
- 长期服务:基于行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880