概述
2023年8月份,绿盟科技伏影实验室全球威胁狩猎系统监测到一类未知的elf文件正在大范围传播,这引起了我们的警惕,经过进一步分析,我们确认了这批elf样本隶属于新的僵尸网络家族,伏影实验室将该僵尸网络木马命名为RDDoS。
RDDoS僵尸网络家族的主要功能为DDoS攻击,并且具备命令执行的能力,这也使得它具备的威胁性进一步提高。RDDoS还设置了上线参数来区分感染设备类型,同时通过上线包是否携带运行参数来区分真实设备和沙箱,具备较强的对抗性。
近期以来,RDDOS不断更迭版本,扩大感染范围,在攻击目标的选择上以美国,巴西和法国为主,国内也有受到波及,已构成不小的威胁,这值得引起我们的警惕。
1.1 受感染设备分布
监测数据显示,RDDoS传播范围十分广泛,受感染设备在美国,新加坡,荷兰等地均有分布,国内受感染情况尤为严重,其中上海(53%)和浙江(30%)为重灾区,北京,河南等地也有受到影响。
1.2 攻击目标分布
监测数据显示,RDDoS在攻击活动中倾向于使用ICMP_flood方法对目标24小时不间断的发起DDoS攻击,近八成的攻击活动都采用该方式进行。在攻击目标的选择上,RDDoS首选攻击目标为美国(36%),其次为巴西(22%)和法国(15%),此外,中国,德国以及荷兰等国家也有受到波及。
2.1 版本变化
从8月份至今,RDDoS不断更迭版本,增加新的攻击方式,甚至对代码结构进行了调整,呈现多个版本同时传播的现象,传播范围较广的版本如下:
|
|
|
|
|
|
2023年8月底 |
|
|
|
2023年9月底 |
|
|
|
2023年10月初 |
|
|
|
2023年10月中旬 |
|
2.2 传播
RDDoS当前支持arm,mips,x86在内的多种CPU架构,且恶意文件存放站点与C&C并不一致。
RDDoS恶意样本中并无内置的传播模块,监测数据显示,大量的RDDoS恶意样本是通过CVE-2021-35394,CVE-2014-8361 在内的漏洞传播到受感染设备,这也从另一个角度说明RDDoS的控制者极大可能拥有独立的传播模块,独立的传播模块在保证传播可控性的同时也可以有效防止0day类关键信息被泄露的可能性。
2.3 主机侧行为
RDDoS在运行时会首先改变当前进程的工作目录为根目录,随后创建子进程,若子进程未创建成功,则直接退出,子进程创建成功后在子进程中继续执行后续功能。
受控端在受害主机上执行时共有两种方式,带参数和不带参数,不同的方式决定了初次上线时的上线包内容,推测攻击者的意图是根据上线内容做出对应的判断,上线参数可以用来区分感染设备类型,此外,若上线包带参数且参数正确,则说明该受控端是攻击者下发的;若受控端执行时不带参,则上线内容拼接“unknow”字符串,说明此木马有可能处于沙箱环境。
2.4 上线包特征
受控端在与控制端建立连接的过程中会拼接命令行参数作为上线包,当无参数传入时拼接“unknown”字符串,如下图所示。
上线时产生的流量如下图所示:
2.5 指令分析
上线完成后,受控端等待控制端下发的指令,并依据指令长度,首字节值等参数判断后续操作。执行流程如下:
当接收数据的首字节为“0x02”时,bot进程终止,当接收数据的首字节为“0x03”时,结束前期创建的子进程;当接收数据的首字节为“0x04”时,bot通过/bin/sh执行对应的命令。
当bot接收到数据长度大于13且首字节为“0x05”、“0x06”、“0x07”、“0x08”或“0x09”时执行DDoS功能。
DDoS攻击指令解析如下:
|
|
|
|
| recv_buf[0] | 攻击类型 | 1字节,确定攻击类型(如0x05->UDP、0x06->ICMP、0x07->TCP_SYN、0x08->TCP_ACK、0x09->TCP_PSH_ACK) |
| recv_buf[1-4] | 目的ip | 4字节,确定目标主机ip地址 |
| recv_buf[5-6] | 目的port | 2字节,确定目标主机端口,为0x0000则随机生成 |
| recv_buf[7-10] | 攻击时长 | 4字节,确定攻击时长 |
| recv_buf[11-12] | 数据包长度 | 2字节,确定发往目标主机的数据包长度 |
| recv_buf[13] | 源IP构造 | 1字节,值为1表示源ip随机化,其他值表示源ip为被控主机ip |
RDDoS整体较为精简,是从零开始构建的一个新型僵尸网络家族,近期以来,其控制者不断对该木马更新迭代,增加新的DDoS攻击方式,完善功能。值得注意的是,RDDoS还具备了命令执行能力,这也使得它具备的威胁性进一步提高,近年来,攻击者使用僵尸网络作为渠道,继而以此为立足点发起APT或勒索攻击的事件屡见不鲜。实际上,绝大部分新出现的僵尸网络家族都是该类看上去极为精简的木马,其变种更是层出不穷,我们对该类僵尸网络家族同样需要加强关注。
我们推断该家族在后期仍会活跃一段时间,伏影实验室将持续加强对该僵尸网络家族及其背后运营团伙的监测。
198.98.60.191:52999
198.98.60.191:1997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原文始发于微信公众号(绿盟科技威胁情报):警惕新型僵尸网络家族--RDDoS
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论