1
攻击描述
Ares 是一个国内的黑客团伙,该团伙活动行为于2023年初被山石威胁情报中心捕获。而在近期我们的威胁情报团队发现了该团伙正在传播的僵尸网络软件SkidBot。该僵尸网络具有开启本地任意连接监听、伪装成无害线程telnetd躲避查杀和主动连接黑客服务器请求DDOS攻击指令等操作。
2
简要分析
die扫描发现样本为ELF32位未符号剥离程序
拖进IDA可以看到主要的攻击逻辑,大体分为以下几点:
-
开启本地监听9072端口
-
清理资源竞争进程
-
通过命令获取要与C2命令服务器交互的启动字符串
-
将当前线程伪装成无害telnetd线程
-
创建新的session脱离父进程,并创建子进程等待C2服务器发起ddos攻击指令
ensure函数内绑定本地监听套接字,端口号为9072
kill_main函数用于创建子进程进行无限循环清理资源竞争的进程
进入killer函数可以看到以下逻辑。遍历proc目录,杀死除自身和一些必须进程外的所有进程。
伪装自身线程为telnetd防止被查杀
创建子进程向黑客服务器发送请求包,黑客ip端口为2.57.122.77:2015。最大失败次数为360次,超过该次数则失败退出。
连接成功则循环等待解析黑客攻击指令。
一共有4中DDOS攻击指令为udp、syn、ack和vse
山石情报中心已收录相关样本,用户可以在山石网科威胁情报中心云瞻中查看相关IOC信息:
3
处置建议
用户可以通过使用山石网科的防火墙和NIPS产品,利用其C2和AV防护模块来提高网络安全,从而降低潜在风险。为确保最佳保护,用户应及时升级特征库,确保其包含最新安全特征信息。山石网科的防火墙不仅提供了先进的网络安全防护功能,还集成了态势感知云景的智能能力,可以高效地监测和拦截与APT组织相关的威胁情报(IOC)和恶意行为。此外,它还能够快速响应和拦截与当前安全趋势、安全事件和相关样本有关的威胁。
4
失陷指标
46.249.32.12:600
2.57.122.77:1023
2.57.122.77:2015
209.141.43.159:1988
107.172.249.169:56648
107.172.86.42:888
194.38.21.21:7398
185.28.39.99:7398
A79E9F0B0B7079ADCBAB09632F580DC0
42AF29F875571EAAD889BDE62EB545F4
1A1F56D1AC1EAB788990B6850188B528
8AC1A3A96ACBCB8DDF5A466BD3A30065
3230A22381112A0AA6218D48D5C7DC81
534661AEFF84424B80FC274BDF4F7C5A
DC59D73A86033BB344D2A5EBE068BD89
47DA8A33D0158AD9C5B0A88E67F092EC
91F881700F7974176F56A43DF48FF9EF
5
关于山石网科情报中心
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。
山石云瞻威胁情报中心:
https://ti.hillstonenet.com.cn/
山石云影沙箱:
https://sandbox.hillstonenet.com.cn/
原文始发于微信公众号(山石网科安全技术研究院):警惕SkidBot僵尸网络活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论