年2月,我们发现境内黑产圈内出现新型的DDoS僵尸网络编制,且在短期内快速在境内互联网内蔓延。本月初,多个威胁情报监测机构相继发出关于BlackMoon僵尸网络大规模传播的风险提示[][2],指出:2年月BlackMoon僵尸网络控制规模已超过00万,日上线肉鸡数最高达2万。
早在年,报告[3]分析了名为Blackmoon的银行木马,且与本木马传播攻击方式不太相同;另一方面,本木马与目前常见的DDoS木马不存在相似性,且木马默认生成文件名为Nidisplay。因此,在下文中将其命名为Nidisplay。
Nidisplay主要是通过已有僵尸网络——“独狼“的肉鸡进行交叉感染快速传播。基于电信自研PDNS数据统计估算,Nidisplay木马在境内每日活跃的肉鸡量有数十万之巨。同时,在分析木马过程中了解,该木马由易语言编译生成,再结合通过“独狼“传播,基本确定幕后为境内黑产团伙。
2.威胁分析2..近期肉鸡量发展趋势结合IOC情报信息和PDNS数据库(部分采集节点),我们检测到:去年4月以来,黑产团伙近期常用C2域名访问量累计达百万量级。近半年内,单月域名访问量连续攀升。2年2月的C2域名查询量超过了四十万(如图)。易语言(EPL)是一门以中文作为程序代码编程语言,其以“易”著称,创始人为吴涛。易语言早期版本的名字为E语言。其最早的版本的发布可追溯至年9月日。创造易语言的初衷是进行用中文来编写程序的实践,方便中国人以中国人的思维编写程序。
图-Nidisplay团伙近期活跃C2域名的历史PDNS访问量分布
进一步,图2展示了该组织的近期活跃C2域名和IP历史映射关系。其中,涉及IP地址和域名数十个。基于我们的PDNS历史数据库,常用的xiaoniu32.