Dofloo
本年度,根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据
,Dofloo 僵尸网络木 马活度高,呈现了超越以往的态势。该家族是知名僵尸网络家族 TFDDoS 的一类稳定变种,由于其 DDoS 指令部分使用了 AES加密,又被称为 AESDDoS木马。Dofloo 是跨平台木马,包含了 Windows 和 Linux平台多种交叉编译版本。绿盟伏影实验室对活 的 Dofloo 木马节点进行了统计,发现多数节点使用了编号为 3.2.0 和 4.10.0 的程序版本,架构则以 x86 和 arm 为主,这符合当前 Linux环境发展趋势
。
目前,Dofloo 僵尸网络的攻击目标以国内各类中小型
云计算服务商为主,此类云计算平台不仅常用 于架设游戏服务器和虚拟物品交易平台,而且也经常被其他 DDoS 服务商与互联网灰黑产利用以部署违 法服务。表 7 Dofloo 主要受攻击 IP 地理位置与关联服务
IP | 位置 | 关联服务 |
---|---|---|
103.85.. | 中国,江苏 | 云服务 |
116.211.. | 中国,湖北 | 云服务 |
103.216.. | 中国,江苏 | IDC |
222.186.. | 中国,广东 | IDC |
156.230.. | 塞舌尔,维多利亚 | 云服务 |
61.147.. | 中国,江苏 | 云服务 |
8.210.. | 新加坡 | |
云服务 | 139.129.. | |
103.200.. | 中国,香港 | 云服务 |
47.95.. | 中国,浙江 | 云服务 |
Dofloo 僵尸网络的控制者会对选定的攻击目标进行数分钟至数小时不等的 DDoS 攻击,每次攻击 活动中发送的 DDoS 攻击指令可以达到上千次。例如,本年度 Dofloo 僵尸网络主要受害者之一的 IP 108.85..,从 4 月 6 日开始持续受到了长达 53 小时的 TCP Flood 攻击。
图 25 Dofloo 主要攻击目标与攻击频次统计
Dofloo 的标准版程序支持 SYN、TCP、UDP、DNS、TCP_SLOW、CC、UDPS 等 DDoS 攻击类型。 本年度,Dofloo C&C下发的 DDoS 攻击指令以 CC、TCP Flood 和 UDP Flood 三类比较高效的攻击类型 为主,保持了一贯的攻击倾向。
图 26 Dofloo 攻击类型与指令占比统计
Dofloo 僵尸网络的主要使用者位于国内。相比其他 DDoS 僵尸网络,Dofloo 的 C&C数量较少,这 说明其开发和运营模式仍然处于比较保守的阶段。
表 8 Dofloo 活跃 C&C IP与关联信息
C&C IP | 位置 | 所属服务提供商 |
---|---|---|
45.76.. | 美国,新泽西 | Vultr |
194.113.. | 中国,香港 | Citis Cloud |
117.24.. | 中国,福建 | Chinanet |
43.229.. | 中国,香港 | Freezing Network |
182.161.. | 中国,香港 | Colomx |
180.178.. | 中国,香港 | Simcentric |
27.50.. | 中国,河南 | Xinfeijinxin |
80.82.. | 塞舌尔,维多利亚 | Ip Volume |
112.213.. | 中国,香港 | Mega-Ii Idc |
43.226.. | 中国,深圳 | Qianhai Bird Cloud |
由此可见,相比 Mirai和 Gafgyt 这样的全球性僵尸网络,Dofloo 暴露出的 C&C和攻击目标数量有限, 攻击目标也有明显的地域特征。此外,Dofloo 的整体运营规模不大,但在执行指定任务期间活跃度极高。 在当今 Mirai 和 Gafgyt 变种引领的 DDoS 家族同质化的趋势下,Dofloo 这类家族的存在,反映了不同 国家区域之间的 DDoS 家族和目标产业生态差异,并为解读这些差异提供了观察入口。 |
年度重点家族盘点—PC僵尸网络家族
恶意邮件的主题往往与特定行业的业务以及当时的社会热点有关,其原因在于热点话题可以升邮 件的真实度、吸引更多关注度,同时被热点信息轰炸的邮箱用户也容易降低对恶意邮件的警觉性。
2020 年爆发的新冠疫情影响范围之广,社会影响力之大,绝非同期其他社会事件可比。恶意邮件 僵尸网络的控制者没有放过这一绝佳机会,快速构建了各种语言、各种体裁的疫情话题诱饵邮件并大量 投放,积极扩大邮件木马的影响范围。
疫情期间,伏影实验室捕获了大量与新冠肺炎有关的垃圾邮件和钓鱼邮件,攻击者在此期间利用这 一主题向各行业企业管理人员、行政人员发送了大量的伪造邮件,主题涉及疫情进展、伪造政府通知、 疫苗研发进度等,诱骗目标点击恶意附件。
本章节中将介绍伏影实验室
捕获的利用 COVID-19传播的具有代表性僵尸网络家族:Emotet、 Netwire 和 SmokeLoader 等。除此之外,以间谍木马 AgentTesla、勒索软件 Maze、新兴远控木马 BitRAT等为代表的以邮件为主要传播途径的木马程序也在混乱的 2020 年获得了快速发展的机会。