Botnet趋势Dofloo
Dofloo
本年度,根据 CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据
,Dofloo 僵尸网络木 马活度高,呈现了超越以往的态势。该家族是知名僵尸网络家族 TFDDoS 的一类稳定变种,由于其 DDoS 指令部分使用了 AES加密,又被称为 AESDDoS木马。Dofloo 是跨平台木马,包含了 Windows 和 Linux平台多种交叉编译版本。绿盟伏影实验室对活 的 Dofloo 木马节点进行了统计,发现多数节点使用了编号为 3.2.0 和 4.10.0 的程序版本,架构则以 x86 和 arm 为主,这符合当前 Linux环境发展趋势
。
目前,Dofloo 僵尸网络的攻击目标以国内各类中小型
云计算服务商为主,此类云计算平台不仅常用 于架设游戏服务器和虚拟物品交易平台,而且也经常被其他 DDoS 服务商与互联网灰黑产利用以部署违 法服务。表 7 Dofloo 主要受攻击 IP 地理位置与关联服务
| IP | 位置 | 关联服务 |
|---|---|---|
| 103.85.. | 中国,江苏 | 云服务 |
| 116.211.. | 中国,湖北 | 云服务 |
| 103.216.. | 中国,江苏 | IDC |
| 222.186.. | 中国,广东 | IDC |
| 156.230.. | 塞舌尔,维多利亚 | 云服务 |
| 61.147.. | 中国,江苏 | 云服务 |
| 8.210.. | 新加坡 | |
| 云服务 | 139.129.. | |
| 103.200.. | 中国,香港 | 云服务 |
| 47.95.. | 中国,浙江 | 云服务 |
Dofloo 僵尸网络的控制者会对选定的攻击目标进行数分钟至数小时不等的 DDoS 攻击,每次攻击 活动中发送的 DDoS 攻击指令可以达到上千次。例如,本年度 Dofloo 僵尸网络主要受害者之一的 IP 108.85..,从 4 月 6 日开始持续受到了长达 53 小时的 TCP Flood 攻击。
图 25 Dofloo 主要攻击目标与攻击频次统计
Dofloo 的标准版程序支持 SYN、TCP、UDP、DNS、TCP_SLOW、CC、UDPS 等 DDoS 攻击类型。 本年度,Dofloo C&C下发的 DDoS 攻击指令以 CC、TCP Flood 和 UDP Flood 三类比较高效的攻击类型 为主,保持了一贯的攻击倾向。
图 26 Dofloo 攻击类型与指令占比统计
Dofloo 僵尸网络的主要使用者位于国内。相比其他 DDoS 僵尸网络,Dofloo 的 C&C数量较少,这 说明其开发和运营模式仍然处于比较保守的阶段。
表 8 Dofloo 活跃 C&C IP与关联信息
| C&C IP | 位置 | 所属服务提供商 |
|---|---|---|
| 45.76.. | 美国,新泽西 | Vultr |
| 194.113.. | 中国,香港 | Citis Cloud |
| 117.24.. | 中国,福建 | Chinanet |
| 43.229.. | 中国,香港 | Freezing Network |
| 182.161.. | 中国,香港 | Colomx |
| 180.178.. | 中国,香港 | Simcentric |
| 27.50.. | 中国,河南 | Xinfeijinxin |
| 80.82.. | 塞舌尔,维多利亚 | Ip Volume |
| 112.213.. | 中国,香港 | Mega-Ii Idc |
| 43.226.. | 中国,深圳 | Qianhai Bird Cloud |
| 由此可见,相比 Mirai和 Gafgyt 这样的全球性僵尸网络,Dofloo 暴露出的 C&C和攻击目标数量有限, 攻击目标也有明显的地域特征。此外,Dofloo 的整体运营规模不大,但在执行指定任务期间活跃度极高。 在当今 Mirai 和 Gafgyt 变种引领的 DDoS 家族同质化的趋势下,Dofloo 这类家族的存在,反映了不同 国家区域之间的 DDoS 家族和目标产业生态差异,并为解读这些差异提供了观察入口。 |
年度重点家族盘点—PC僵尸网络家族
恶意邮件的主题往往与特定行业的业务以及当时的社会热点有关,其原因在于热点话题可以升邮 件的真实度、吸引更多关注度,同时被热点信息轰炸的邮箱用户也容易降低对恶意邮件的警觉性。
2020 年爆发的新冠疫情影响范围之广,社会影响力之大,绝非同期其他社会事件可比。恶意邮件 僵尸网络的控制者没有放过这一绝佳机会,快速构建了各种语言、各种体裁的疫情话题诱饵邮件并大量 投放,积极扩大邮件木马的影响范围。
疫情期间,伏影实验室捕获了大量与新冠肺炎有关的垃圾邮件和钓鱼邮件,攻击者在此期间利用这 一主题向各行业企业管理人员、行政人员发送了大量的伪造邮件,主题涉及疫情进展、伪造政府通知、 疫苗研发进度等,诱骗目标点击恶意附件。
本章节中将介绍伏影实验室
捕获的利用 COVID-19传播的具有代表性僵尸网络家族:Emotet、 Netwire 和 SmokeLoader 等。除此之外,以间谍木马 AgentTesla、勒索软件 Maze、新兴远控木马 BitRAT等为代表的以邮件为主要传播途径的木马程序也在混乱的 2020 年获得了快速发展的机会。
参考资料
绿盟 2020 DDoS攻击态势报告
友情链接
绿盟 2015绿盟科技云安全解决方案
Botnet趋势Dofloo相关推荐
- Botnet趋势传统僵尸网络家族
传统僵尸网络家族 本年度,IoT 平台的主要威胁依然是以 Mirai.Gafgyt 等为代表的主流僵尸网络家族,同时以 Dofloo 为首的多平台僵尸网络家族也活于多种设备环境中.这些木马程序普遍具有 ...
- Botnet趋势典型攻击链
典型攻击链 本年度,伏影实验室根据 CNCERT物联网 威胁情报平台及绿盟威胁识别系统监测数据,在检测僵尸 网络威胁与网络攻击事件时发现,Mirai 变种 Fetch 家族使用了最新的攻击链进行攻击. ...
- Botnet趋势漏洞利用状况分析
执行摘要 在过去的一年中,世界遭受了新冠疫情的袭击,生产生活受到了极大的影响.但在网络世界中,僵 尸网络作为多年来的主要威胁形式之一,并未受到疫情的影响,反而更加活.今年,绿盟科技和国家 互联网 应急 ...
- Botnet趋势Bigviktor
Bigviktor 2020 年 6 月,绿盟科技伏影实验室威胁捕获团队,根据 CNCERT物联网 威胁情报平台及绿盟威胁 识别系统监测数据,检测到数例针对 DrayTek Vigor 路由器的漏洞利 ...
- 小心!你家的 IoT 设备可能已成为僵尸网络“肉鸡”
图源 | 视觉中国 受访者 | 吴铁军 记者 | 夕颜 出品 | AI科技大本营(ID:rgznai100) 2020年,全球遭受了新冠疫情的袭击,人们的生产生活受到了极大的影响.在网络世界中,僵尸网 ...
- 人工智能与大数据时代-2020
20200524 2020 新基建.新动能5G车路协同白皮书 2020 能源石化交易行业区块链应用白皮书 2020中国智慧文旅5G应用白皮书 自动驾驶仿真技术研究报告 中国独角兽企业发展白皮书 &q ...
- 重器 :关键基础设施保护
执行摘要 2019 年,全球政治经济秩序系统性挑战增加,在传统战争手段为各类条约所限不敢大肆发挥的情 况下,金融行业和网络安全 领域首当其冲,成为新型战争的试水手段甚至将会成为常规手段.<201 ...
- 【每日新闻】浪潮发布云计算战略 3.0,打造平台生态型企业 | 复旦开创新存储技术:10纳秒写入速度,可定制有效期
每一个企业级的人 都置顶了 中国软件网 中国软件网 为你带来最新鲜的行业干货 小编点评 我们希望邀请更多的生态伙伴 共同探讨 共同行动 2018年4月25日 北京站,不见不散! 趋势洞察 生态视角 ...
- 攻击类型的攻击次数分布
攻击类型分析 2018 年,主要的攻击类型 1 为 SYN Flood,UDP Flood,ACK Flood,HTTP Flood,HTTPS Flood, 这五大类攻击占了总攻击次数的 96%,反 ...
最新文章
- ubuntu install fonts
- nestjs配置MySQL数据库,Nest.js 中的数据库操作
- java实现动态验证码源代码——jsp页面
- python变量的作用_Python中的变量
- postgres 连接数查看与设置
- 有indexPath获取到cell对象
- Python利用os.walk遍历文件夹
- Mysql-5.6.x多实例配置
- 哈尔滨工业大学-计算机系统大作业-程序人生
- Codeforces Round #595 (Div. 3) E. By Elevator or Stairs?
- [转]明朝出了个张居正 作者:秋风浩荡 -3
- 【小游戏】Flappy bird
- Docker系列之常用命令操作手册
- python3代码编程规范(命名、空格、注释、代码布局、编程建议等)
- 计算机硬件在线修复,电脑故障在线查询,自己也能修电脑不花一分钱!
- 超标量处理器设计 姚永斌 第9章 指令执行 摘录
- 喝咖啡有饱腹感减肥 赛乐赛怎么样
- 树莓派连接显示器——Micro hdmi转VGA
- echarts 横纵坐标设置
- MATLAB读ArcGIS输出的dbf文件