Gafgyt 变种：Sakura 僵尸网络溯源分析报告

1

前言

近年来，随着匿名货币的增长，僵尸网络攻击越来越频繁，各种二次开发的变种也越来越多。搭建1个开源的僵尸网络的成本很低，通过 Youtube 搜索可以找到大量“傻瓜”式搭建教程，甚至有申请匿名服务器的教程，可谓是“一条龙”服务。

2

事件起因

近日，微步在线终端威胁检测与响应平台 OneEDR （以下简称OneEDR）监测发现，5月14日，某后台主机告警页面出现有7条可疑告警信息，凭借多年安全分析经验，初步判定为僵尸网络攻击。

3

告警排查分析

3.1 告警详情分析

点击时间最早的一条告警项查看详细日志信息，在父进程信息 sshd:admin@notty （无界面登录）中发现为可疑爆破登录，然后通过命令行工具发现执行切换目录、下载木马、执行和删除文件等可疑命令。

继续查看这台主机的其他告警信息，第二条告警信息显示文件路径异常，可以看到进程路径已经 deleted ， OneEDR 将其判定为“可能为攻击者巩固阵地的手段”。

3.2 攻击原因排查

通过登录服务器进行排查，发现该用户下无其他应用服务，继而查看ssh登录日志，发现了密码爆破的历史进程，确定攻击者是通过弱密码爆破登录服务器。

然后使用 $lastb 命令根据时间排查日志，疑似13:49分最接近入侵时间，其余的时间都相差较大。

3.3 上机排查

使用 $ps -ef 命令查看所有进程时,发现进程 x86-Sakura 和进程 x32-Sakura 在14:00启动。

使用 $ls -l /proc/32737 命令查看进程号32737确认木马存放的位置。

使用 $ls /tmp |grep Sakura*  命令查看 /tmp 目录下列示的所有 Sakura 文件后，可以确认该恶意行为是针对多个平台（mips、mpsl、sh4、x86、arm6、x32、arm7、ppc、i586、m68k、ppc、arm4、arm5）的僵尸网络。

通过分析 Sakura.sh ，得出 shell 会使用“||”符号来分隔 cd directory 命令。即使 /tmp 目录不存在，系统会提示 “No such file or directory” ，也会继续执行第二个 cd directory 命令。这样既能满足在不常用目录存储恶意样本不被发现的需求，又能在当不常用的目录不存在时使得恶意样本能正常保存下来。

4

样本分析

X86.Sakura（6d21dd452c0ce920825bca8a5910c249），以此为例进行分析。先从 main 函数开始，它首先是要读取受害机的本地时间，通过 getsockname 和  /proc/net/route 命令获取受害机的公网ip、内网ip、网段、网关以及MAC地址等信息（以 t00000000t分割)。

木马会确认有没有 python、python3、perl 以及 telnet 程序环境，如果有其中一个的话就会返回“22”，如果没有就返回 “Unknown Port”。

初始化链接C2，并睡眠5秒，根据获取到的 ip+port+架构信息发送给C2确认受害机的相关信息。

从网络数据可知，受害机向C2服务器(143.110.226.196:12345)发送ip port 架构的信息，C2服务器会回复 “PING” 确认在线。

发送完相关信息后就一直等待C2发送指令，以便进行下一步行动。

经过分析得出，有 tcp、udp、vse、stdhex、std、nfodrop、ovhkill、xmas、crush、stomp、stop 这11个命令；其中 atcp 是构造发送 tcp 攻击， audp 是构造发送 udp 攻击， vse 是攻击游戏服务器的相关 payload ，所有的攻击指令都是以这3种类型的攻击方式为基础去发送相关的数据。

举例分析， Vseattack 可攻击运行 Valve Source Engine 的游戏服务器(使用 Steam 引擎制造商 Valve 软件协议（A2S_INFO数据包）在客户端和游戏服务器之间进行例行通信的一部分)。

1）TCP，在指定的时间间隔内将 TCP 数据段发送到指定的主机/端口组合。

2）UDP，将一些有效载荷发送到目标主机，指定端口、攻击持续时间和效载荷的最大内存。

3）astd，定义了要发送的数据（其实是一个特殊字符串，然后i > 50就发送，i置0后累加又再次发送）。

攻击时， bot 会发送这一段话给目标：

"dayzddos.co runs you if you read this lol then you tcp dumped it because it hit you and you need to patch it lololololol"

指令集：

与以前 Gafgyt 木马的架构、函数结构进行对比，发现是其家族的变种。

在分析这个样本时，并没有发现密码爆破功能点，猜测是额外利用了一些爆破工具去针对有弱密码的服务器ip进行密码爆破，当成功拿到相关的账号密码就会登陆下载木马。从刚才的网络通讯数据得出，它会获取受害机的网络相关信息，在上线时发送给C2服务器，C2服务器会定期 “PING”确认受害机的在线情况，之后就会等待C2的指令去对一些网站、服务器进行 DDos 攻击。

攻击简易流程图如下：

小小“僵尸”变种，见到微步在线 OneEDR ，还不速速显出原型。

5

C2信息关联

通过查询域名解析后的ip，发现指向美国的一所院校(St.Scholastica University)，通过微步在线蜜罐、X社区等对该ip进行其他相关事件的关联，并未发现其他攻击事件。该域名解析为143.110.226.196，发现该 ip 为木马下载地址的时间是2021年5月14日。

通过对该ip拓展发现，该ip所在网段B段（143.110.0.0-143.110.255.255）均为该大学的ip，C2疑为跳板机。圣舒拉卡学院的官网地址 css.edu ，解析的ip为143.110.1.200。

通过样本的命名习惯在蜜罐中关联，以下为曾用过此类木马的ip：

143.198.104.139（美国）

138.68.20.95（美国）

143.110.231.43（美国）

193.239.147.144（罗马尼亚）

45.95.169.218（匈牙利）

167.71.191.160（美国）

167.71.65.57(荷兰)

这种属于小众僵尸网络，最早出现在2020年12月，采用静态的方式去编译生成木马。

6

总结与思考

6.1 事件总结

本次事件是通过OneEDR在收集终端的进程、网络、文件等系统行为发现的，OneEDR在主机上运用了行为规则、智能事件聚合等技术手段，实现对木马入侵事件的精准发现，能发现已知或未知的威胁。通过OneEDR的智能关联功能，可了解到安全事件的上下文以及主机、账号、进程等信息，通过“进程链”快速掌握事件的影响范围以及事件的概括，从而精准溯源。

6.2 事件思考

1.近几年5G物联网的迅速发展，物联网设备数量呈几何增长，物联网设备已经成为主要的攻击目标。

2.随着物联网设备的不断增多，使用SSH 暴力破解攻击会也越来越多,这会让僵尸网络迅速增加自己的bot；与此同时，黑客租用的是国外匿名廉价的VPS，不仅成本低，溯源难度还较高，所以僵尸网络的发展会越来越猖獗。

3.目前的IOT僵尸网络以 DDoS 和 挖矿的木马为主。

6.3 处置建议

1.Kill 进程 Sakura 进程；

2.删除文件 /tmp/Sakura 相关文件；

3.SSH 使用安全的密码策略，使用高强度密码，切勿使用弱口令，防止黑客暴力破解。

- END -

公众号内回复“sa”，可获取完整 PDF（含 IOC） 报告。

关于微步在线研究响应团队

微步情报局，即微步在线研究响应团队，负责微步在线安全分析与安全服务业务，主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成，并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统，对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来，累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动，协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

内容转载与引用

1. 内容转载，请微信后台留言：转载+转载平台+转载文章

2. 内容引用，请注明出处：以上内容引自公众号“微步在线研究响应中心”

本文始发于微信公众号（微步在线研究响应中心）：Gafgyt 变种：Sakura 僵尸网络溯源分析报告