其他
Navicat 中文官网被 DDoS 攻击事件分析
1. 概况
奇安信威胁情报中心僵尸网络威胁监测系统显示,Navicat 中文官网域名 www.navicat.com.cn 确实自 1.6 日中午以来被多个 Mirai 家族的僵尸网络 C&C 下发了攻击指令,被攻击的总体趋势如下:
可以看到,直到今天早晨,还有一小波攻击。
2. 攻击详情
3. 总结
三个参与 DDoS 的 C&C 域名中,homehitter.tk、shetoldmeshewas12.uno 经过分析确定属于同一攻击团伙,因为这两个域名都指向同一IP地址 103.136.42.186,并且当前能在服务器获取到完全相同的僵尸网络样本文件。
而 xin.badplayer.net 暂时无法确认与上述两个 C&C 归属同一组织,原因是样本特征与 homehitter.tk,shetoldmeshewas12.uno 下发的有所不同,并且攻击者下发二进制木马时使用的恶意 Shell 文件手法也略有差异。根据我们对这三个 C&C 域名的长期监控,推测它们都是第三方 DDoS 攻击租赁平台,很可能是有人租赁了它们的 DDoS 攻击服务对 Navicat 中文官网发起了恶意攻击,因此这次攻击事件幕后真正的发起者难以确定。4. IoCs
xin.badplayer.net:59666
shetoldmeshewas12.uno:38241
homehitter.tk:38241
点击阅读原文至ALPHA 5.0
即刻助力威胁研判