BlackMoon僵尸网络在国内已感染数百万终端！企业如何通过规范网络行为实现真正保护局域网电脑文件安全？

2022-07-15

3月1日，国家互联网应急中心监测发现，BlackMoon僵尸网络在互联网上进行大规模传播，通过跟踪监测发现其1月控制规模（以IP数计算）已超过100万，日上线肉鸡数最高达21万，给网络空间带来较大威胁。BlackMoon僵尸网络位于境内肉鸡按省份统计，排名前三位的分别为广东省（12.7%）、河南省（9.3%）和江苏省（7.6%）；按运营商统计，电信占57.5%，联通占22.9%，移动占19.4%。

近期，CNCERT监测发现BlackMoon僵尸网络在互联网上进行大规模传播，通过跟踪监测发现其1月控制规模（以IP数计算）已超过100万，日上线肉鸡数最高达21万，给网络空间带来较大威胁。具体情况如下：

一、僵尸网络分析

（一）相关样本分析

　　该僵尸网络大规模传播的样本涉及10个下载链接、6个恶意样本（详情见第4节相关IOC），样本分为两类：一类用于连接C2，接受控制命令的解析程序，包括Yic.exe、nby.exe、yy1.exe、ii7.exe、ii8.exe；另一类为执行DDoS攻击的程序，为Nidispla2.exe。该僵尸网络样本功能不复杂，仅发现DDoS功能，截至目前攻击目标均为一个IP，且未发现针对该IP的明显攻击流量，因此初步怀疑该僵尸网络还在测试过程中。

　　接受控制指令的恶意代码，由e语言编写，整体运行过程如下：

　　（1）样本运行后，创建名为：kongxin1123的互斥量防止恶意代码多次运行，之后通过遍历固定字符串的方式找到内置的HPSocket4C库文件，该库一个网络通信库，加载到内存进行注册。恶意代码把处理ddos的函数和上线函数注册到此库中，进行回调。

　　（2）连接c2地址，连接成功后，把收集的信息“上线||[电脑名]”发送到c2服务器，之后在闭循环中等待接受命令数据。

　　（3）如果存在命令数据，回调DDoS处理函数进行处理，当前存在的攻击命令：POST、GET、TCP3种攻击，恶意代码对接受的攻击命令进行字段验证，保证每个攻击存在对应的字段，之后使用同目录下的ddos攻击程序：Nidispla2.exe，把攻击数据通过参数的方式传入到此文件，执行ddos攻击。

DDoS攻击程序可以通过不同的方式发送DDoS攻击，并且可以使用不同的UA头进行攻击。

（二）传播方式分析

　　通过关联分析发现，该BlackMoon僵尸网络传播方式之一是借助独狼（Rovnix）僵尸网络进行传播。独狼僵尸网络通过带毒激活工具（暴风激活、小马激活、 KMS等）进行传播，常被用来推广病毒和流氓软件。

二、僵尸网络感染规模

　　通过监测分析发现，2022年1月15日至2月22日BlackMoon僵尸网络日上线肉鸡数最高达到21万台，累计感染肉鸡数达到237万，几乎均为境内主机。每日上线肉鸡数情况如下。

BlackMoon僵尸网络位于境内肉鸡按省份统计，排名前三位的分别为广东省（12.7%）、河南省（9.3%）和江苏省（7.6%）；按运营商统计，电信占57.5%，联通占22.9%，移动占19.4%。

三、防范建议

　　请广大网民强化风险意识，加强安全防范，避免不必要的经济损失，主要建议包括：1、不要点击来源不明邮件。2、不要打开来源不可靠网站。3、不要安装来源不明软件。4、不要插拔来历不明的存储介质。

　　当发现主机感染僵尸木马程序后，立即核实主机受控情况和入侵途径，并对受害主机进行清理。

企业如何通过规范网络行为实现真正保护局域网电脑文件安全？

安企神电脑文件防泄密系统是一款保护电脑文件安全、严防企业商业机密外泄的产品。系统主要从三个维度进行管理，即存储设备控制、上网行为控制、操作系统控制，从而构建立体化、全方位信息安全防护平台。系统可以禁止一切USB存储设备连接电脑拷贝资料，不控制鼠标、键盘等非存储设备，还可以灵活管控光驱、红外、蓝牙、随身wifi、聊天软件、网盘、邮箱、注册表、应用程序等近百项功能。系统的管理方式快捷灵活，精准有效，目前已成功应用百万终端，积累了丰厚的行业经验。如下图所示：

2、系统功能

系统主要提供了以下核心功能：

a、全面监控USB存储设备的使用

》禁止电脑连接一切USB存储设备，包括：优盘、移动硬盘、手机、平板等，不影响USB鼠标、键盘、加密狗等。

》设置特定U盘，即电脑只能识别白名单列表中的U盘。同时还可以对特定U盘进行二次权限设置。

》只允许从U盘向电脑拷贝文件，禁止电脑向U盘拷贝文件，或只允许电脑向U盘拷贝文件，禁止U盘向电脑拷贝文件。

》密码权限设置。设置从电脑向U盘、移动硬盘拷贝文件时需要输入管理员密码。

》禁用CD/DVD光驱、禁止光驱刻录功能，但是允许光驱读取、禁用软驱。

》监控USB存储设备拷贝记录。详细记录U盘拷贝电脑文件时的日志，包括拷贝时间、文件名称等。

b、全面防止网络途径泄密的行为

》禁止聊天软件泄密。设置特定QQ、允许QQ聊天但禁止传文件、禁止QQ群传文件、禁止微信传文件等。

》禁止邮箱外传文件。禁止登录一切邮箱、允许登录特定邮箱、只允许收邮件禁止发送邮件等。

》禁止网盘向外传文件。禁止使用一切网盘、云盘，也可以设置使用特定网盘、云盘等。

》程序黑白名单管理。设置禁止运行的程序列表，或者设置只允许运行的程序列表。

》网页黑白名单管理。设置禁止打开的网址名单，或者设置只允许打开的网址名单。

》禁止登录论坛、博客、贴吧、空间等，禁止使用FTP上传文件、禁止手机和电脑通过网络互传文件等。

c、操作系统底层防护

》禁用注册表、禁用设备管理器、禁用组策略、禁用计算机管理、禁用任务管理器、禁用Msconfig、禁用安全模式、禁用光盘启动电脑、禁用红外、禁用串口/并口、禁用1394、禁用PCMCIA、禁用调制解调器

》禁用U盘启动电脑、禁用DOS命令、禁用格式化和Ghost、禁止修改IP/Mac、屏蔽PrtScn、屏蔽Esc键、屏蔽剪贴板、禁止网络共享、禁止查看进程、屏蔽Win键、屏蔽Ctrl+Alt+A键、禁用Telnet、开机系统自动隐藏运行

》设置全局白名单、禁止局域网通讯、禁用虚拟机、禁止创建用户、禁用有线网卡、禁用无线网卡、禁止安装随身WIFI、禁用蓝牙、登录密码设置、软件唤出热键管理、安装目录权限管理、UAC管理、恢复管理

》禁止开机按F8进入安全模式、禁止光驱启动操作系统、禁止U盘启动操作系统、禁止PE盘启动电脑等，防止各种手段绕过系统监控的情况。

3、产品架构

安企神电脑文件防泄密系统基于单机版和网络版两种架构，单机版安装在一台电脑上；网络版基于C/S架构，分为管理端和客户端，管理员电脑安装管理端，局域网其他电脑安装客户端。

1）单机版界面：

图：安企神电脑文件防泄密系统（单机版）

2）网络版界面：

图：管理端界面

图：网络版客户端界面（与单机版相同）