2024年5月20日,XLab的威胁感知系统检测到一个可疑的ELF文件/usr/bin/geomi,该文件使用变形的UPX加壳,从俄罗斯上传到VirusTotal。随后在德国也发现了相同类型的文件。经过分析,确认这是一个使用Golang实现的僵尸网络,我们命名为Zergeca。
Zergeca不仅是一个典型的DDoS僵尸网络,还具备以下功能:
-
支持多种DNS解析方式,优先使用DOH进行C2解析
-
使用不常见的Smux库实现C2通信协议,并通过xor进行加密
Xlab捕获的四个样本功能几乎一样,但检测率差异较大
大部分杀软产商对以下样本研判结果是Generic Malware,我们推测杀软基于hash特征进行检测,一旦hash变化,检测效果就会变差。
23ca4ab1518ff76f5037ea12f367a469
为了验证猜想,我们在该文件的尾部加入了4字节“Xlab”,重新上传VT后,检测率变成了9/67,部分证明了我们的推测。
四个样本共用两个在同一天创建的C2域名(ootheca.pw 和 ootheca.top),优先使用DOH方式进行C2解析,掩盖了样本和C2域名之间的关系,导致检测率低。C2域名和IP地址(84.54.51.82)的分析显示,该IP自2023年9月以来参与了多种网络活动,包括扫描、下载和僵尸网络C2服务。曾为多个Mirai僵尸网络提供服务,Zergeca的作者具有运营Mirai僵尸网络的经验。
过逆向分析,我们对Zergecar的作者有了初步的认识:内置的竞争对手名单表明其作者对Linux生态下流行的威胁非常熟悉;使用变形UPX加壳、敏感字符串的xor加密、以及通过DOH隐藏C2解析等技术,显示了他们的免杀意识;基于Smux实现网络协议则展示了其开发能力。面对这样一个既会运营、又懂对抗、还能开发的对手,我们在未来如果再看到他的新作品也不会感到意外,只想说:“Give it your all and wow us!”
原文始发于微信公众号(奇安信XLab):虫潮降临:Zergeca僵尸网络分析报告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2865274.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论