近期越南地区GaperBotnet僵尸网络分析

01

背景介绍

随着网络中安全环境逐步的完善，往往攻击者使用的网络资产在极短的时间就会受到各类安全设备以及安全运维人员的围追堵截。攻击者不仅完不成预计指标甚至还要频繁遭受跟换网络资产的损失。所以近几年使用DDR(Deep Drop Resolver)的方式越来越受到欢迎。如以telegramBot，github的方式来完成信息上传和组件下发以及更新的方式也被频繁使用于apt的攻击活动中(如saaiwc、drakpink、摩诃草等)，代替以往攻击组件中uploader、downloader的职责，用于规避安全设备对于网络资产的拦截。

本次山石网科情报中心捕获到一批活跃于越南地区的僵尸网络样本，他们自称自己为“Gaper Botnet“，在某通讯软件上以59$/1月的价格向外兜售病毒软件和黑客服务。在这些样本中同样使用了github+telegramBot的方式来规避安全设备审查。

 

02

样本分析

在发现的样本文件中，可以看到攻击者主要以python3.10版本作为主要的开发环境，使用的样本程序以pyinstaller打包的python程序为主，程序内容有以下几类：

1. Stealer

以窃取浏览器历史记录、用户登陆数据、以及特定网站的cookies（如facebook.com、tiktok.com）、信用卡信息为目的。涉及的浏览器列表除chrome外，还包含如下浏览器：

获取设备的ip信息：‍‍

获取屏幕截图：

最终通过telegrambot将收集的信息上传。

2. Downloader

从“https://thisinhthanhlich.edu[.]vn/cor/11.exe”下载后续组件到本地执行。

03

测试样本

在溯源的过程中，我们发现了一部分日期比较接近，但功能并不完善的样本，我们推测该部分为测试样本。如用于带有UAC绕过用以实现程序自启动的脚本：

启动后检查启动权限，若并非管理员权限，则使用runas的方式提升执行权限。

通过注册表项来禁用windows defender，以方便执行后续操作。

随后通过powersshell执行功能，下载文件到指定路径，

将文件拷贝到Startup目录下，完成文件随系统自启动。

又或者是通过github下发脚本。

 

04

Server组件

在溯源的过程中我们还发现到其中一种Server端组件，用于供Gaper Botnet的客户变更文件格式。

组件运行后会对用户进行登录认证，其中使用的user和passwd均为固定值，当验证失败时可通过相应客户更改。

登录验证成功后根据用户选择，将指定文件变更为 指定格式.scr，并推荐用户使用软件Resource Hacker修改文件图标资源，以达到文件更好的隐蔽效果。

 

05

IOC

MD5：

38d772e660ecb2999b552695af84dfda

95c9e07d1e4747b63541b117ba1eac8a

341b7fd302c77d7431d89eedbc53ded0

6841f8f3e0ec5246e0ca45154a8807e2

83c35eb33524b815c37a4156810cc485

f138837953d012a785daea3a49c937f3

be66ec4f8c28e943eb969eb3b350db9e

315f5afee0edfa706044764e28f980b4

Url：

https://severnew1[.]fun/file.exe

https://thisinhthanhlich.edu[.]vn/cor/11.exe

TelegramBot Toekn：

bot6681894385:AAFWqY1zbS2llFtcV_7uojkr6f9JchJI5yQ

bot6203037714:AAFqqfaKcZUR7CoYiyymVTztFfocBWxqaL8

06

处置建议

可使用山石网科防火墙和NIPS产品的C2和AV防护模块来防范该风险，请确保将特征库升级至截止20230830的最新版本。山石网科防火墙与态势感知云景可以有效地预警并拦截与APT组织相关的威胁情报（IOC）和恶意行为。

 

公众号（山石网科安全技术研究院）：近期越南地区GaperBotnet僵尸网络分析