2017年6月9日起,一款名为“暗云III”的木马被揭露出来。360威胁情报中心通过技术分析结合已公开发布信息确认这是一个影响面广、潜在危害大的现实威胁,需要用户引起重视并采取应对措施。
木马主要通过外挂、游戏辅助、私服登录器等传播,此类软件通常诱导用户关闭安全软件后使用,使得木马得以乘机植入。木马主要通过云控进行恶意任务发布及传播,执行恶意功能时无可执行程序写入磁盘,同时木马所具有的bootkit能力也使得木马的运行更加隐秘而且难以查杀。
360安全监测与响应中心也将持续关注该事件进展,并第一时间为您更新该木马信息。
木马特征
暗云III木马会根据攻击者的指示对所指定的目标系统执行DDOS、CC攻击,木马所感染的电脑构成几个庞大僵尸集群,有消息称在前不久发生的多起大流量DDOS攻击背后的基础恶意代码就是此木马。由于木马具备连接C&C控制端下载执行攻击者所发布任意代码的能力,理论上可以执行各种恶意功能,包括和不仅限于拒绝服务、窃密、勒索等。
目前已知主要的传播方式为通过诱使用户下载安装恶意外挂、游戏辅助、私服登录器等传播,此类软件通常诱导用户关闭安全软件后使用,使得木马得以乘机植入系统潜伏等待指令执行恶意功能。
影响范围
由于木马本身的底层执行机制,在运行中的感染木马的系统中执行检查确认感染状态比较麻烦,目前相对比较低成本的方案为通过检查网络中木马C&C通信来定位受影响的系统。360威胁情报中心提供如下的URL列表,如果在网络中出现对如下这些URL的访问则相应的源IP系统非常有可能已受木马控制:
https://www.acsewle.com:8877/ds/kn.html
https://ms.maimai666.com
https://www.acsewle.com:8877/ds/cl.db
https://www.acsewle.com:8877/ds/lcdn.db
https://www.acsewle.com:8877/ds/ndn.db
https://www.2tf1.com/upcfg.db
https://update.njmmy.com:8089/config/LDrvSvc.zip
https://www.acsewle.com:8877/um.php
更简化的检测方案可以是监测网络中的DNS解析,如果发现对以下域名的解析,则相应源IP系统极可能受影响:
ms.maimai666.com
www.acsewle.com
360天眼高级威胁检测系统已经加入对相关IOC的检测,只要更新IOC集到最新版本通过流量分析就可以快速定位受影响的系统。
360天眼文件威胁鉴定器(沙箱)通过动态执行可以检测出样本的恶意行为,及时发现相关威胁,无需任何升级。
CNCERT提供了一个通过匹配历史受影响IP记录来帮助网络管理员和终端用户判断自己的系统是否可能受影响的在线工具,可以通过访问如下URL自查:https://d.cert.org.cn/
防护方案
360防火墙针对“暗云III”木马的应急响应处置有如下四种方案:
方案1. 360新一代智慧防火墙
(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,通过更新IPS特征库已经完成了暗云III木马的防护,建议用户尽快将IPS特征库升级至“20170614”版本。
方案2. 通过开启天御云进行实时监测发现暗云III失陷主机
方案3. 360新一代智慧防火墙,在【处置中心】进行一键配置:
1、防火墙配置截图如下:
2、具体拦截的URL链接如下:
https://c2tongji.b5156.com:89
https://update.njmmy.com:8089/config/LDrvSvc.zip
https://www.2tf1.com/upcfg.db
https://www.acsewle.com:8877/ds/cl.db
https://www.acsewle.com:8877/ds/kn.html
https://www.acsewle.com:8877/ds/lcdn.db
https://www.acsewle.com:8877/ld/ndn.db
https://ms.maimai666.com
https://www.acsewle.com:8877/um.php
方案4. 使用防火墙的URL过滤功能配置自定义拦截URL链接。
查杀方案
360天擎针对“暗云III”木马的处置措施:
1. 天擎控制台和终端病毒库升级到2017-06-13以后的版本;
2. 对全网终端发起“快速扫描”,然后检查“终端日志” — “病毒分析”日志中发现病毒名称有Trojan.win32.DarkCloud3字样的记录,评估内网中受感染的终端数量;
3.从天擎控制台的病毒扫描日志找到受感染的终端,对受感染终端进行修复,处理步骤如下:
1) 在受感染的终端上进行病毒快速扫描,扫描出包含Trojan.win32.DarkCloud3字样的病毒时,点击立即处理,调起“360急救箱”;
2)为避免因修复MBR失败而导致系统无法启动,需先用360系统急救箱备份系统MBR信息,并把MBR信息备份到U盘上;
3)点击360系统急救箱的“开始急救”按钮进行查杀,查杀时会扫描并自动处理发现的风险项;
4) 查杀出包含“系统MBR”字样的可疑文件后,重启系统再次使用系统急救箱进行扫描,如扫描不出风险,则确认清理成功;如在重启系统后依然可以查杀出病毒,则进入WinPE系统进行查杀;如在重启系统后,MBR损坏无法进入操作系统,需进入WinPE系统,在WinPE环境下使用360系统急救箱WinPE版进行恢复,下载地址:https://www.360.cn/jijiuxiang/guide.html
对于未安装360天擎的用户,360公司提供的360急救箱可以查杀暗云III木马,下载地址如下:https://www.360.cn/jijiuxiang/index.html
▲360发布国内首个业务安全解决方案 1个月限时免费试用
▲360企业安全集团总裁吴云坤:不做别人做过的事
▲企业安全武汉研发中心开始招人啦!
喜欢的话
记得点关注
哦~
