Gafgyt 变种:Sakura 僵尸网络溯源分析报告

  • A+
所属分类:安全新闻
1

前言


近年来,随着匿名货币的增长,僵尸网络攻击越来越频繁,各种二次开发的变种也越来越多。搭建1个开源的僵尸网络的成本很低,通过 Youtube 搜索可以找到大量“傻瓜”式搭建教程,甚至有申请匿名服务器的教程,可谓是“一条龙”服务。

Gafgyt 变种:Sakura 僵尸网络溯源分析报告


2

事件起因


近日,微步在线终端威胁检测与响应平台 OneEDR (以下简称OneEDR)监测发现,5月14日,某后台主机告警页面出现有7条可疑告警信息,凭借多年安全分析经验,初步判定为僵尸网络攻击。

Gafgyt 变种:Sakura 僵尸网络溯源分析报告


3

告警排查分析

3.1 告警详情分析
点击时间最早的一条告警项查看详细日志信息,在父进程信息 sshd:[email protected] (无界面登录)中发现为可疑爆破登录,然后通过命令行工具发现执行切换目录、下载木马、执行和删除文件等可疑命令。
Gafgyt 变种:Sakura 僵尸网络溯源分析报告
继续查看这台主机的其他告警信息,第二条告警信息显示文件路径异常,可以看到进程路径已经 deleted , OneEDR 将其判定为“可能为攻击者巩固阵地的手段”。

Gafgyt 变种:Sakura 僵尸网络溯源分析报告


3.2
攻击原因排查

通过登录服务器进行排查,发现该用户下无其他应用服务,继而查看ssh登录日志,发现了密码爆破的历史进程,确定攻击者是通过弱密码爆破登录服务器。

然后使用 $lastb 命令根据时间排查日志,疑似13:49分最接近入侵时间,其余的时间都相差较大。

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

3.3 上机排查

使用 $ps -ef 命令查看所有进程时,发现进程 x86-Sakura 和进程 x32-Sakura 在14:00启动。
Gafgyt 变种:Sakura 僵尸网络溯源分析报告

使用 $ls -l /proc/32737 命令查看进程号32737确认木马存放的位置

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

使用 $ls /tmp |grep Sakura*  命令查看 /tmp 目录下列示的所有 Sakura 文件后,可以确认该恶意行为是针对多个平台(mips、mpsl、sh4、x86、arm6、x32、arm7、ppc、i586、m68k、ppc、arm4、arm5)的僵尸网络。

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

通过分析 Sakura.sh ,得出 shell 会使用“||”符号来分隔 cd directory 命令。即使 /tmp 目录不存在,系统会提示 “No such file or directory” ,也会继续执行第二个 cd directory 命令。这样既能满足在不常用目录存储恶意样本不被发现的需求,又能在当不常用的目录不存在时使得恶意样本能正常保存下来。

Gafgyt 变种:Sakura 僵尸网络溯源分析报告


4

样本分析

X86.Sakura(6d21dd452c0ce920825bca8a5910c249),以此为例进行分析。先从 main 函数开始,它首先是要读取受害机的本地时间,通过 getsockname 和  /proc/net/route 命令获取受害机的公网ip、内网ip、网段、网关以及MAC地址等信息(以 t00000000t分割)。

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

木马会确认有没有 python、python3、perl 以及 telnet 程序环境,如果有其中一个的话就会返回“22”,如果没有就返回 “Unknown Port”。

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

初始化链接C2,并睡眠5秒,根据获取到的 ip+port+架构信息发送给C2确认受害机的相关信息。

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

从网络数据可知,受害机向C2服务器(143.110.226.196:12345)发送ip port 架构的信息,C2服务器会回复 “PING” 确认在线。

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

发送完相关信息后就一直等待C2发送指令,以便进行下一步行动。

Gafgyt 变种:Sakura 僵尸网络溯源分析报告
经过分析得出,有 tcp、udp、vse、stdhex、std、nfodrop、ovhkill、xmas、crush、stomp、stop 这11个命令;其中 atcp 是构造发送 tcp 攻击, audp 是构造发送 udp 攻击, vse 是攻击游戏服务器的相关 payload ,所有的攻击指令都是以这3种类型的攻击方式为基础去发送相关的数据。
举例分析, Vseattack 可攻击运行 Valve Source Engine 的游戏服务器(使用 Steam 引擎制造商 Valve 软件协议(A2S_INFO数据包)在客户端和游戏服务器之间进行例行通信的一部分)。
Gafgyt 变种:Sakura 僵尸网络溯源分析报告
1)TCP,在指定的时间间隔内将 TCP 数据段发送到指定的主机/端口组合。
Gafgyt 变种:Sakura 僵尸网络溯源分析报告
2)UDP,将一些有效载荷发送到目标主机,指定端口、攻击持续时间和效载荷的最大内存。
Gafgyt 变种:Sakura 僵尸网络溯源分析报告

3)astd,定义了要发送的数据(其实是一个特殊字符串,然后i > 50就发送,i置0后累加又再次发送)。

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

攻击时, bot 会发送这一段话给目标:
"dayzddos.co runs you if you read this lol then you tcp dumped it because it hit you and you need to patch it lololololol"
Gafgyt 变种:Sakura 僵尸网络溯源分析报告
指令集:
Gafgyt 变种:Sakura 僵尸网络溯源分析报告
与以前 Gafgyt 木马的架构、函数结构进行对比,发现是其家族的变种。
Gafgyt 变种:Sakura 僵尸网络溯源分析报告
Gafgyt 变种:Sakura 僵尸网络溯源分析报告
在分析这个样本时,并没有发现密码爆破功能点,猜测是额外利用了一些爆破工具去针对有弱密码的服务器ip进行密码爆破,当成功拿到相关的账号密码就会登陆下载木马。从刚才的网络通讯数据得出,它会获取受害机的网络相关信息,在上线时发送给C2服务器,C2服务器会定期 “PING”确认受害机的在线情况,之后就会等待C2的指令去对一些网站、服务器进行 DDos 攻击。
攻击简易流程图如下:
Gafgyt 变种:Sakura 僵尸网络溯源分析报告
小小“僵尸”变种,见到微步在线 OneEDR ,还不速速显出原型。
Gafgyt 变种:Sakura 僵尸网络溯源分析报告

5

C2信息关联
通过查询域名解析后的ip,发现指向美国的一所院校(St.Scholastica University),通过微步在线蜜罐、X社区等对该ip进行其他相关事件的关联,并未发现其他攻击事件。该域名解析为143.110.226.196,发现该 ip 为木马下载地址的时间是2021年5月14日。
Gafgyt 变种:Sakura 僵尸网络溯源分析报告
Gafgyt 变种:Sakura 僵尸网络溯源分析报告

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

通过对该ip拓展发现,该ip所在网段B段(143.110.0.0-143.110.255.255)均为该大学的ip,C2疑为跳板机。圣舒拉卡学院的官网地址 css.edu ,解析的ip为143.110.1.200。
Gafgyt 变种:Sakura 僵尸网络溯源分析报告
Gafgyt 变种:Sakura 僵尸网络溯源分析报告
通过样本的命名习惯在蜜罐中关联,以下为曾用过此类木马的ip:
143.198.104.139(美国)
138.68.20.95(美国)
143.110.231.43(美国)
193.239.147.144(罗马尼亚)
45.95.169.218(匈牙利)
167.71.191.160(美国)
167.71.65.57(荷兰)

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

这种属于小众僵尸网络,最早出现在2020年12月,采用静态的方式去编译生成木马。
Gafgyt 变种:Sakura 僵尸网络溯源分析报告
Gafgyt 变种:Sakura 僵尸网络溯源分析报告

6

总结与思考

6.1 事件总结

本次事件是通过OneEDR在收集终端的进程、网络、文件等系统行为发现的,OneEDR在主机上运用了行为规则、智能事件聚合等技术手段,实现对木马入侵事件的精准发现,能发现已知或未知的威胁。通过OneEDR的智能关联功能,可了解到安全事件的上下文以及主机、账号、进程等信息,通过“进程链”快速掌握事件的影响范围以及事件的概括,从而精准溯源。


6.2 事件思考

1.近几年5G物联网的迅速发展,物联网设备数量呈几何增长,物联网设备已经成为主要的攻击目标。
2.随着物联网设备的不断增多,使用SSH 暴力破解攻击会也越来越多,这会让僵尸网络迅速增加自己的bot;与此同时,黑客租用的是国外匿名廉价的VPS,不仅成本低,溯源难度还较高,所以僵尸网络的发展会越来越猖獗。
3.目前的IOT僵尸网络以 DDoS 和 挖矿的木马为主。


6.3 处置建议
1.Kill 进程 Sakura 进程;
2.删除文件 /tmp/Sakura 相关文件;
3.SSH 使用安全的密码策略,使用高强度密码,切勿使用弱口令,防止黑客暴力破解。


- END -


公众号内回复“sa”,可获取完整 PDF(含 IOC) 报告。

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。



内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台+转载文章

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”




本文始发于微信公众号(微步在线研究响应中心):Gafgyt 变种:Sakura 僵尸网络溯源分析报告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: