shellbot后门木马分析

admin 2024年11月29日00:03:27评论17 views字数 1297阅读4分19秒阅读模式

前言

近期在进行事件处置时,捕获到一起由perl脚本编写的shellbot IRC机器人,这类的后门木马当前并不常见,根据已有资料,大部分都是一几年的时候比较常见,故此对该样本做个记录。

根据病毒信息,也是在github上找到了个源码比较类似的项目:https://github.com/nikicat/web-malware-collection/blob/master/Bots/Perl/shellbot.pl

分析

从perl脚本的整体代码来看,该恶意样本,主要还是采用IRC协议进行通信,整体的功能有点像个聊天机器人,受害主机通过与远程控制服务器的通信,来达到端口扫描,dos攻击,反弹shell等等相关操作,样本的注释也是写的比较清楚。

shellbot后门木马分析

该样本持续运行主要还是在源代码逻辑中添加了一个主循环,通过主循环一次次进行轮询,来与服务服务器保持持续性的连接,同时,在主循环中会调用其他的perl函数来达到执行其他功能的目的,比如反弹shell、命令执行等操作。

shellbot后门木马分析

在主循环会通过conectar函数来连接服务器网络,通过irc_servers来保存连接信息,如果irc_servers的值为假时则会调用conectar来连接远端的控制服务器。

shellbot后门木马分析

核心的dos攻击、文件下载、反弹shell等等执行恶意行为的功能,整体调用逻辑主循环->parse->bfunc。

也就是说最后会通过bfunc辅助模块来实现。

在bfunc函数中,端口扫描主要还是通过tcp来实现,其中端口扫描主要涵盖常见的系统服务端口以及web服务端口。目前从源代码层面来看,这个shellbot dos恶意脚本,与2023年AhnLab安全应急响应中心捕获到的样本存在区别,AhnLab安全应急响应中心发现的样本还包括了端口暴力破解的攻击的模块。

shellbot后门木马分析
shellbot后门木马分析

同时该样本还自定义了一个全端口扫描的模块,主要还是根据用户输入的范围,利用tcp连接,来检测端口整体的存活性。

shellbot后门木马分析

该样本还可以向指定服务器地址发送数据包,来达到dos攻击的目的。在样本中自定义了一个名为attacker的函数,这个函数主要在bfunc的oldpack中进行调用。

shellbot后门木马分析

至于xpl、info、sendmail模块则是常见的获取内核信息模块、主机信息以及命令发送邮件的功能,没有实际的恶意攻击行为。

shellbot后门木马分析

既然该样本被称为shellbot,那么也是存在一个shell管理模块的,攻击者通过下发conback指令,感染主机,接收到后,则会通过irc协议向远程服务器发送一个远程的反向链接,让攻击者实现对服务器的控制,该模块会根据操作系统不同版本的信息,来选择要执行的反向连接环境。

shellbot后门木马分析

最后该样本还实现了DCC 文件传输功能,能够发送和接收文件。来达到文件窃取或者上传恶意文件的目的。

shellbot后门木马分析

ioc

md5:ae4608ee871d23c4697d49eec5e3eab4

url:slow.snowless.link

应急响应交流群

shellbot后门木马分析

工具包

个人总结了实际应急响应场景实用的工具(不会打包过多冗余工具),并打包放到微信公众号,感兴趣的可以关注回复20241122领取

shellbot后门木马分析

原文始发于微信公众号(也总想挖RCE):shellbot后门木马分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月29日00:03:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   shellbot后门木马分析https://cn-sec.com/archives/3447030.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息