锐速云防护团队参与了整个攻击事件的全过程，分析的12个站点中有3个是锐速云在做防护并保证了客户正常运行，其中防护的一个站点最大的攻击量达到了900G。

    1   概述

　　2017年7月30日，安天安全研究与应急处理中心（Antiy CERT）的工程师发现一种具备拒绝服务（DDoS）攻击能力的新型木马。经初步分析，安天CERT工程师认为该木马属于一个新家族，并将其命名为“魔鼬”。通过关联查询安天对于DDoS攻击的历史监测数据，发现本次事件中受攻击的域名同时也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻击。

　　2    受攻击目标

　　通过样本分析，发现被攻击域名或IP多为操作系统下载站点，受攻击的域名/IP和对应的网站名如表2-1所示。

　　表2‑1受攻击的域名/IP对应的网站

　　通过电信云堤的协助分析，我们在部分网络出口提取攻击数据，部分域名访问量抽样统计如下：

　　图2‑1对www.swerrt.cn域名的访问量

　　图2‑2对win7.bdxsa.com域名的访问量

　　在运营商的大部分骨干网设备上都可以观察到攻击流量和C2心跳，具体感染数量有待进一步核查。

　　3    事件样本分析

　　样本的编译时间为2017-07-01 21:22:54（时间戳 5957A22E），根据前面的攻击事件发现时间，初步认为该时间是未经过篡改的，可见该木马家族的出现时间仅有短短的1个月。

　　图3‑1样本时间戳

　　样本的运行流程和主要行为如下：

　　1.创建互斥量保证唯一实例运行。

　　图3‑2创建互斥量

　　2.加载资源数据，读取指定偏移的内容作为C2地址（www.linux288.com）。

　　图3‑3加载资源数据

　　3.连接C2服务器，发送本机系统信息（包括主机名、CPU、内存、系统版本等），接收C2返回的攻击目标列表。

　　图3‑4接受服务器返回数据

　　4.在分析中我们发现，C2返回的攻击目标列表数据每隔一段时间会发生变化，从而控制受害主机向不同的IP或域名发动攻击。

　　图3‑5服务器返回不同的攻击目标列表

　　5.接收到数据后，样本按指定的格式解析攻击列表数据（link_list和task_list）。

　　图3‑6解析数据包内容

　　6.样本根据task_list地址和配置，创建大量线程，向目标地址发起DDoS攻击。

　　图3‑7发起DDoS攻击

　　4    相关事件关联

　　对本次事件中的被攻击域名进行关联查询，发现部分域名在相近时间也遭受了其他组织的DDoS攻击，详细信息如下：

　　表4‑1关联查询结果

　　部分域名受攻击的数据如下所示：

　　图4‑1域名win7.hangzhouhongcaib.cn的攻击数据

　　图4‑2域名www.xiaomaxitong.cn的攻击数据

　　图4‑3域名x1.xy1758.com的攻击数据

　　5   总结

　　经过分析和关联查询，发现在相近时间内多个组织对相同目标发起DDoS攻击。从目前掌握的资料来看，本次DDoS事件的攻击强度足以瘫痪一般的网站，但是部分受攻击网站采用了CDN服务，因此没有受到严重影响。该木马家族的出现时间仅有短短的1个月，却发现较多起由该家族发起的DDoS攻击事件，说明该木马传播速度较快，需要引起重视。