IPK僵尸 络 看看其传播手法

转自：http://www.freebuf.com/vuls/154975.html

一、IPK僵尸 络概述

IPK僵尸家族是自2012年底就开始出现并长期持续活跃在境外的DDoS僵尸 络。2016年底至2017年初，IPK家族在境外处于爆发状态（如图1-1）。近几个月内，安天捕风蜜罐系统监测发现IPK有向境内蔓延的迹象，后期可能会在境内爆发IPK僵尸 络。从IPK僵尸 络的通信协议首包（OpenHeart）明文看，有一个默认值为“IPKServer”的协议字段（见图1-2），因此将其命名为Trojan[DDoS]/Win32.IPK.A。

图1-2 OpenHeart首包

IPK家族僵尸 络的主要功能及特点如下：

1.实现DDoS攻击；

2.在样本中控制端（下称：C2）配置信息以及被控端木马(下称：木马)与C2之间的通讯都使用了加密算法，且密码可由僵尸 络操纵者自定义（默认密码为：encpassword）；

3.C2的控制节点默认监听端口为1337，默认服务为IPKServer，默认互斥量为IPKMutex，默认备份文件名为AdobeRAT.exe；

4.可实现样本更新及传播其它木马。

二、样本详细分析

1.基本信息

表2 协议数据

图3-1 IPK攻击情

图3-2 传播Wnlm远控木马

四、防护建议

IPK家族自2012年底开始出现，历经5年的完善，无论在传播手法、使用范围和功能集成方面都可称得上是一个相对成熟的僵尸 络家族，虽然目前并没有在境内出现大规模爆发的状况，但其在部分国家及地区（例如：阿根廷、巴西、德国、荷兰、泰国等）却广泛存在，并且时刻威胁着互联 的安全。因此，我们仍需提高警惕。

在此，安天建议设备管理员及时对相关设备进行升级或强化用户密码，警惕来历不明的非正常邮件，更不要下载并运行这些邮件的附件，以避免设备沦为攻击者的傀儡甚至威胁内 信息安全。同时，安天将持续跟踪关注此僵尸 络家族，进行及时分析与预警。

五、附录：安天捕风蜜罐系统

安天捕风蜜罐系统（英文简称ACS）是一款部署在 络环境中用于诱骗和捕获 络攻击的专用设备，可及时感知攻击从而进行预防。其能够捕获攻击工具信息并记录攻击的全过程，尤其适用于感知内 威胁，感知勒索软件、蠕虫、入侵漫游等威胁，既支持单机设备部署也支持分布式部署。

安天捕风蜜罐系统的主要功能为威胁行为感知、受害主机告警、攻击链还原与展示、失陷主机感知、威胁情 生产，具有高低交互结合、精准行为预警等优势。可模拟Windows、Linux、多种国产操作系统等环境，支持web服务器、数据库服务器、IOT、特定漏洞等多种环境模拟。

文章知识点与官方知识档案匹配，可进一步学习相关知识MySQL入门技能树数据库组成表31332 人正在系统学习中 相关资源：基于C程序的周易占卜软件_c语言算命系统-C#代码类资源-CSDN文库