一、BlackMoon僵尸网络背景
随着数字化业务的全面发展,企业资产日益剧增,近年来诸如数据泄漏、黑客攻击的网络攻击事件频发,各种攻击手段层出不穷,使得企业业务安全面临极高的挑战。传统安全检测基于规则黑白名单的检测方式,只能应对已知威胁,无法应对高级威胁和未知威胁,一旦发生高级威胁事件传统防御无法有效应对。当前外部攻击手段愈加先进,而企业自身防护能力仍显薄弱,因此如何快速感知入侵、如何快速处置与溯源是企业当前面临的迫切需求。
今年3月初,国家互联网应急中心(CNCERT)监测发现BlackMoon僵尸网络通过互联网大规模传播,通过跟踪监测发现其1月控制规模(以IP数计算)已超过100万,日上线肉鸡数最高达21万,给网络空间带来较大威胁。该BlackMoon僵尸网络传播方式之一是借助独狼(Rovnix)僵尸网络进行传播,独狼僵尸网络通过带毒激活工具(暴风激活、小马激活、KMS等)进行传播,常被用来扩散病毒和流氓软件。
二、还原BlackMoon威胁检测过程
金睛云华威胁情报中心已监测到该僵尸网络在国内活跃频繁,对企业资产安全带来较大隐患。为应对此次僵尸网络威胁,金睛云华第一时间有针对性的增强检测手段、升级知识库,为用户规避风险。
在金睛云华高级威胁检测系统升级至最新知识库后,我们发现江苏某地市网信办的一台资产设备已被BlackMoon控制。公司立即启动响应措施,联动威胁治理专家协助用户及时进行处置,避免后续产生更大的损失。
BlackMoon威胁检测过程如下:
1.2022年6月6日告警显示向目标主机植入了木马,高级威胁检测系统立即检测到该恶意样本。
最低0.47元/天 解锁文章
278
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
