【蜜罐捕获】又一个对外DDoS攻击的病毒

admin

IOC：
222.186.151.158

---

病毒进程名称：gy.exe
根据名字可以得知这是大名鼎鼎的鬼影DDoS病毒
攻击时病毒进程占用了大量的CPU和内存资源

病毒启动后连接C&C服务器IP：222.186.151.158 端口：7777

连接后收到对服务器IP：103.153.100.114 进行ICMP Flood攻击
收到攻击请求

病毒对受害者服务器发送大量ICMP数据包




之后大概不到半个小时
系统又检测到此病毒再次对上述服务器的80端口进行SYN Flood攻击

大量的SYN请求


为了采集信息时防止对被攻击服务器继续造成伤害
我方选择断开蜜罐网络进行离线采集
断网后此病毒停止了攻击 开始不断地向C&C服务器发出连接请求


根据对C&C服务器IP的逆向溯源侦察
获悉此服务器绑定了域名：vpn357306175.sedns.cn
注册人：北京大游索易科技有限公司（之后根据信息采集到其官网已更新为：www.softether.cn）
法人代表：王宏
官网：www.sesvc.cn
公司邮箱：562384768@qq.com
地址：北京市朝阳区酒仙桥路甲16号3层3010号
经营范围：技术推广；计算机系统服务；组织文化艺术交流活动（不含演出）；会议及展览服务；影视策划；电脑图文设计；销售计算机、软件及辅助设备、电子产品、文具用品、工艺品。（依法须经批准的项目，经相关部门批准后依批准的内容开展经营活动。）


这两次的DDoS攻击如此快、准、狠
极有可能是此公司的黑产内容 或是通过DDoS瘫痪进行商业恶意竞争
当然 不排除是此公司服务器被其他黑客入侵 用作控制肉鸡进行DDoS攻击的跳板

病毒样本在下面↓