前言
近期在进行事件处置时,捕获到一起由perl脚本编写的shellbot IRC机器人,这类的后门木马当前并不常见,根据已有资料,大部分都是一几年的时候比较常见,故此对该样本做个记录。
根据病毒信息,也是在github上找到了个源码比较类似的项目:https://github.com/nikicat/web-malware-collection/blob/master/Bots/Perl/shellbot.pl
分析
从perl脚本的整体代码来看,该恶意样本,主要还是采用IRC协议进行通信,整体的功能有点像个聊天机器人,受害主机通过与远程控制服务器的通信,来达到端口扫描,dos攻击,反弹shell等等相关操作,样本的注释也是写的比较清楚。
该样本持续运行主要还是在源代码逻辑中添加了一个主循环,通过主循环一次次进行轮询,来与服务服务器保持持续性的连接,同时,在主循环中会调用其他的perl函数来达到执行其他功能的目的,比如反弹shell、命令执行等操作。
在主循环会通过conectar函数来连接服务器网络,通过irc_servers来保存连接信息,如果irc_servers的值为假时则会调用conectar来连接远端的控制服务器。
核心的dos攻击、文件下载、反弹shell等等执行恶意行为的功能,整体调用逻辑主循环->parse->bfunc。
也就是说最后会通过bfunc辅助模块来实现。
在bfunc函数中,端口扫描主要还是通过tcp来实现,其中端口扫描主要涵盖常见的系统服务端口以及web服务端口。目前从源代码层面来看,这个shellbot dos恶意脚本,与2023年AhnLab安全应急响应中心捕获到的样本存在区别,AhnLab安全应急响应中心发现的样本还包括了端口暴力破解的攻击的模块。
同时该样本还自定义了一个全端口扫描的模块,主要还是根据用户输入的范围,利用tcp连接,来检测端口整体的存活性。
该样本还可以向指定服务器地址发送数据包,来达到dos攻击的目的。在样本中自定义了一个名为attacker的函数,这个函数主要在bfunc的oldpack中进行调用。
至于xpl、info、sendmail模块则是常见的获取内核信息模块、主机信息以及命令发送邮件的功能,没有实际的恶意攻击行为。
既然该样本被称为shellbot,那么也是存在一个shell管理模块的,攻击者通过下发conback指令,感染主机,接收到后,则会通过irc协议向远程服务器发送一个远程的反向链接,让攻击者实现对服务器的控制,该模块会根据操作系统不同版本的信息,来选择要执行的反向连接环境。
最后该样本还实现了DCC 文件传输功能,能够发送和接收文件。来达到文件窃取或者上传恶意文件的目的。
ioc
md5:ae4608ee871d23c4697d49eec5e3eab4
应急响应交流群
工具包
个人总结了实际应急响应场景实用的工具(不会打包过多冗余工具),并打包放到微信公众号,感兴趣的可以关注回复20241122领取
原文始发于微信公众号(也总想挖RCE):shellbot后门木马分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论