数据上传

编号：

ANVA-BL-OSINT-11010000001253

报送单位：

CNCERT

报送日期：

Fri May 25 00:00:00 CST 2018

标题：

任子行分析一起涉及多个DDoS僵尸网络样本的攻击事件追踪-IOC

摘要：

近期任子行蜜网系统监测到一起涉及利用多个僵尸木马传播进行DDoS攻击的安全事件。木马样本涉及Windows与Linux两个平台，通过对样本的分析，发现这几个样本编写风格都不一样，但是硬编码在程序中的C&C均指向同一个IP地址。推测这一系列木马的传播者通过购买不同的DDoS木马进行传播，从而构建自己的僵尸网络进行DDoS攻击牟利。其中有两个样本所属家族为XorDDoS和ChinaZ。最后通过一系列的分析，将该威胁定性为小黑客组建僵尸网络进行DDoS攻击事件，同时追踪到了恶意代码传播者的个人信息，包括姓名、QQ号码、手机号、邮箱、微信等。

标签：

DDoS; 僵尸网络; Windows; Linux; IOC; HASH; IP; DOMAIN; URL; FILE

原文地址-1：

https://mp.weixin.qq.com/s/c1dPWzceJzKy-jVp0sgd6Q

发布日期：

2018/05/24

发布者：

weixin

HASH：

892833AB52DAA816918041670519EB6351AE7EC2DB7AF2C97F3AB5EE214DA173
4A2FB58342D549347D32E54C3DA466A19BFD66364825AC7F2257995356F09AFD
74D4776A76AD3BCB578C9757D9F18A6ADFFE8802C43E5E59B14C4E905664733D
DBC7FC7748BD201C54B2A0189396F3101C18127A715E480C8CB808F07137822A

IP：

180.97.220.35
123.249.9.157
123.160.10.16
123.249.9.15
123.249.79.250
103.248.220.196
180.97.220.35
123.160.10.16
180.97.220.35
123.249.9.157
123.249.9.157
123.249.9.15
123.249.79.250
103.248.220.196

DOMAIN：

liancanmou.xyz
web.liancanmou.xyz
jch.liancanmou.xyz
wwt.liancanmou.xyz
wwv.liancanmou.xyz
www.liancanmou.xyz

URL：

http://123.160.10.16:3097/gy.exe
http://180.97.220.35:3066/33
http://180.97.220.35:3066/32
http://180.97.220.35:3066/Linux4.7

FILE：

gy.exe
33
32
Linux.DDOS.Flood
wwt.liancanmou.xyz
XorDDoS
Linux/Elknot
ChinaZ

网络安全威胁信息共享平台