boxmoe_header_banner_img

欢迎来到系统爱好者-形象站

POST
文章导读
知识资讯

【国家互联网应急中心】关于BlackMoon变种HTTPBot僵尸网络的风险提示

avatar
Mr.Z 2025-06-26 357
0 评论

近期,CNCERT 监测发现一种名为HTTPBot的DDoS僵尸
网络。该僵尸网络控制者通过钓鱼等方式诱导Windows主机
用户运行伪装成记事本等程序的木马文件实现劫持 Windows
主机的目的,通过C&C控制服务器向被劫持主机发送控制指
令,对目标服务器的HTTP业务端口开展攻击。该僵尸网络控
制方式、攻击模式与BlackMoon僵尸网络利用的类似,可认
为是BlackMoon 僵尸网络的变种。
一、 木马文件分析
区别于传统的僵尸网络利用IoT设备漏洞攻击IoT设备,
HTTPBot 僵尸网络木马,攻击对象为 Windows 主机,通过对
其样本文件进行逆向分析,发现该木马基于Go语言开发,主
要特征如下:
1、 硬编码的形式保存 C&C 服务器的域名,域名为jjj.jjycc.cc,目前解析为:104.233.144.23
2、 隐蔽运行
3、 写入注册表实现自启动
将自身路径写入 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 启动项键值实现开机自动运行。
4、 精准操控
僵尸网络中每个被控节点,将会主动向C&C服务器控制
节点发送字符串”OK”进行在线认证,等待C&C服务器下发
的控制指令。
5、 感染方式
通过对木马文件逆向分析,未发现有0DAY或者Nday漏
洞利用相关的代码,没有驱动提权代码,未获取RING0控制
权限,为一般权限的木马程序。将木马文件与VirusTotal网
站恶意样本库进行比对,据VirusTotal 统计,该木马样本通常以 Windows 系统自带的记事本程序 notepad.exe 相似的文件名(如notepadl.exe、notepar.exe)这类文件名进行传播,伪装成Windows 系统自带的记事本程序,结合逆向分析结果,可推定该木马文件的感染方式为诱导用户执行的钓鱼传播。
二、 攻击模式分析
HTTPBot内置7种针对HTTP协议开展DDoS攻击的模式:
1、 HttpAttack 模式:可根据攻击目标端口配置,动态选择明文TCP 或者加密的 TLS 连接。并且实现了自动重试UserAgent 和表头的随机化以及动态速率控制。
2、 HttpAutoAttack 模式:相较于 HttpAttack模式,引入了自动化的 Cookie 处理流程(解析服务端的响应返回的guardret 参数,构造一个新的 Cookie),结合状态码识别和重试机制(如果状态码为429或者405,则通过休眠绕过频率限制)以及随机化UA头部,实现更准确地模拟合法会话,避免触发而激活目标服务器的 Cookie 参数核验保护规则。
3、 HttpsFpDIAttack 模式:基于资源消耗最大化的策略进行攻击。一是将TCP Keep-Alive时间设置为30分钟,即使没有文件操作,也长时间占用目标服务器TCP连接资源。二是强制使用 HTTP/2 模式,其多路复用功能强制目标服务器传输大体积响应文件,提高目标服务器负荷。
4、 WebSocketAttack 模式:通过控制单个连接的消息数量,循环发送握手消息,并能够随机生成UA信息、随机生成消息正文、包含合法表头伪装普通的HTTP请求、动态控制消息间隔等模式躲避基于频率的检测。
5、 POSTAttack 模式:强制使用 POST 方法,随机选择UA,模拟多个浏览器版本,绕过基于固定顺序的规则检测。
6、 BrowserAttack 模式:利用隐藏的 Google Chrome实例模拟合法业务流量,隐藏窗口,混淆正常请求和攻击流量,实现自动化控制。
7、 CookieAttack 模式:在BrowserAttack 模式之外加入Cookie 自动化管理,自动携带合法Cookie。
三、 HTTPBot僵尸网络安全威胁
1、 业务安全风险
此类攻击使用的动态混淆技术使得攻击流量和普通业务流量难以区分,危害性较大。
2、 长期驻留的持续性风险
HTTPBot 通过木马隐蔽潜伏在 Windows 主机内,可通过横向渗透等方式对更多主机发起感染。
四、 监测情况
经过监测分析发现,自2025年5月15日至6月9日期间,C2 地址日通信IP个数最高达到33543个,平均27514个,累计有31.7万个IP地址与C2地址通信。
五、 防范建议
请各单位、广大网民强化风险意识,加强安全防范,主要建议包括:
1、 开展木马查杀,不点击来历不明的应用程序。
2、 封堵C&C 控制服务器的域名解析请求,封禁与C&C控制服务器的网络连接。
六、 相关IOC 样本MD5:
3C265ABE43FA0C15E69EAB2C1DF2B4D7
31F47E5D70CDA2A94E91880D04F01976
域名: jjj.jjycc.cc
控制IP: 104.233.144.23
七、 致谢
感谢绿盟威胁情报中心提供的样本支持。

转自国家互联网应急中心-关于BlackMoon变种HTTPBot僵尸网络的风险提示时间:2025-06-18

 

评论(已关闭)

评论已关闭