【蜜罐捕获】一个对外DDoS攻击的病毒

admin · 发表于 2021-4-29 00:41:13

IOC：
112.90.254.36
69.165.73.220

病毒启动后伪装成VMware虚拟机的相关进程：vmware-vmx.exe

再向C&C服务器发起连接：

可以看到由于此次攻击病毒已经另外开启了3个UDP端口用于DDoS攻击
也就是说此黑客的本次攻击使用了3线程

但是此黑客十分狡猾
每次都在想要对某个目标发起网络攻击时再启动肉鸡控制端
同时C&C服务器禁止了ping请求
以达到迷惑网安人员以为此服务器已停机

蜜罐系统监测到此C&C服务器控制大量肉鸡对IP：69.165.73.220 端口：62768 进行 UDP Flood 攻击
（收到 UDP Flood 攻击请求）

（进行 UDP Flood 攻击大量“XXXXXXXXXXXX......”的垃圾数据包）

根据对被害目标服务器的查询
查询到其IP 69.165.73.220 是一个传奇私服网站
https://999sf.com/

但是根据网站内容描述此网站为传奇游戏的官方网站
之后根据相关网站内容找到了旗下的公司：福建扑满
网站：www.pull-man.com

病毒样本在下面↓