全文共2656字,阅读大约需5分钟。
伏影实验室全球威胁狩猎系统在2022年6月15日-16日捕获到两个新的僵尸网络家族,我们将这两个新僵尸网络家族命名为Boota和Boat,这两个家族使用独立的C2地址,且无关联。
根据狩猎发现:
2022年6月15日检测到Boota家族,2022年6月16日投递Boota的下载地址已经切换。
2022年6月16日检测到Boat家族,在16日下午晚些时候,Boat家族的下载地址也已切换。
伏影实验室僵尸网络追踪系统仍然能够追踪到C2的活跃流量,攻击者并未切换C2。这两个新僵尸网络家族除下发了弱口令扫描攻击的指令外,无其他攻击活动,我们认为攻击者的僵尸网络仍然在构建过程中。
Boota家族具有与Gafgyt相似的通信代码结构,但Boota家族使用了完全不同的通信命令和程序框架。目前Boota具有x86、arm、mips、Motorola 68020、Renesas SH、SPARC平台版本。
Boota具有以下功能:
-
信息搜集
-
DDoS攻击
-
弱口令扫描
-
Shell命令执行
-
自销毁
2.1.1 攻击活动
A.上线
Bot端运行后通过拼接botnet字符串,进程运行时的参数以及一个socket句柄值,完成上线信息的构建,发送到主机端,C2并不会校验并回复bot的上线消息。
B.攻击命令
Bot端能够接收的命令如下表:
C.弱口令扫描攻击
攻击者以明文的形式将弱口令对内置在样本中,弱口令对在Miori等家族中也曾出现,攻击者并未增加新的弱口令对。
目前,C2仅下发了扫描指令和心跳指令:
Boat家族是一个融合了开源僵尸网络DDoS攻击源代码的新僵尸网络家族,具有全新的通信流程和C2交互逻辑。目前Boat具有x86、x64、arm、mips平台版本。
Boat家族具有以下功能:
-
信息搜集
-
DDoS攻击
-
弱口令扫描
-
自删除
3.1.1 攻击活动
A.上线
Boat家族上线过程共有四轮。当bot端启动时连接C2地址:172.245.186.189:5906,并发送长度约0x404长度的上线包,以00 03开始,以01 00结尾,中间全部填充为0。
C2在接收到bot端发来的消息后,会回复固定字符串daddyl33t。此时bot端会立刻回复0x404字节长度的回复包,以00 02开始,以01 00结尾,中间全部填充为0。
C2再次接收消息后,会回复固定字符串:
/tmp./root./data/local/tmp.mips.mpsl.mipsel.arm.x86.x86_64.x64.i586.i686.i386.i486
此时bot端会再次回复0x404字节长度的回复包,以00 01开始,以01 00结尾,中间全部填充为0。
完成上述交互后,C2端会下发弱口令集,bot端接收后,会再次回复0x404字节长度的回复包,以00 00开始,以01 00结尾,中间全部填充为0。
C2接收到该消息后,回复IMEXECUTED0xff完成此次交互过程。
B.攻击命令
攻击者设计了多种攻击指令:
攻击者借鉴开源代码创建新僵尸网络家族,开发成本低,且容易被归类到开源僵尸网络家族中,这一方法有效的降低了攻击成本,并隐藏了新家族特征。在出现新漏洞时,经过简单的修改或加壳即可大规模进行传播,防不胜防。
因此需要通过更为精细的僵尸网络家族特征对捕获到的恶意代码进行检测和识别,并持续追踪其变化,才能够在新漏洞披露时快速防御和处置。
附录 IOC
Hash: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:
149.57.171.148
172.245.186.189
关于绿盟科技伏影实验室
研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。
绿盟威胁情报中心
绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI)是绿盟科技为落实智慧安全3.0战略,促进网络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。(绿盟威胁情报中心官网:https://nti.nsfocus.com/)
原文始发于微信公众号(绿盟科技):攻防演练在即,新型僵尸网络家族Boat和Boota同时迅速传播
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论