2023 年 7月初��,我們捕獲到了一個(gè)未知 DDoS 僵尸網(wǎng)絡(luò)病毒家族樣本��,該樣本諸多基礎(chǔ)函數(shù)從 Mirai 源碼移植而來(lái)����,但在主機(jī)行為、網(wǎng)絡(luò)控制協(xié)議方面又做了很大改動(dòng)��。樣本中的多個(gè)核心函數(shù)由 "ripper_" 開(kāi)頭����,所以我們把這個(gè)家族命名為Ripper。
我們對(duì)其樣本和 C&C 的關(guān)聯(lián)分析�,發(fā)現(xiàn)該家族已經(jīng)傳播了數(shù)月時(shí)間��,只不過(guò)之前的樣本與現(xiàn)在的樣本變化比較大。經(jīng)過(guò)梳理����,我們暫時(shí)把 Ripper 家族的樣本分為 3 個(gè)版本:V0、V1 和 最新的 V2����。
Ripper 的傳播機(jī)制借鑒自 Mirai:樣本中內(nèi)置 Telnet 弱口令掃描模塊,掃描模塊會(huì)把掃描結(jié)果上報(bào)給 Report Server����,攻擊者會(huì)根據(jù)上報(bào)的掃描結(jié)果,控制 Loader 向失陷主機(jī)植入 Ripper 的木馬文件�����。最新的 Ripper V2 中��,C&C 還會(huì)通過(guò)特定的指令動(dòng)態(tài)更新樣本掃描用到的弱口令字典�����。
已經(jīng)捕獲到 Ripper V2 發(fā)起的數(shù)十次攻擊����,其攻擊目標(biāo)包括數(shù)據(jù)貨幣交易所1million.exchange��,時(shí)代華納的 DNS 服務(wù)器74.74.74.74�����,以及英國(guó)獨(dú)立報(bào)官網(wǎng)www.independent.co.uk���。鑒于 Ripper 在樣本層面的頻繁變動(dòng)持續(xù)升級(jí),以及逐步開(kāi)展 DDoS 攻擊�����,我們會(huì)對(duì) Ripper 家族的活動(dòng)持續(xù)監(jiān)控�����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
