左边是C2 base64解码。在右侧,C2解密。
二进制文件包含四个命令服务器主机名,其中两个已注册为主机名。唯一有效的主机名已运行了两个星期,然后才响应。
main_doTask: 从C2获取命令。其中包括: •DDoS指令 •SSH暴力破解指令,包括主机范围和尝试登录的密码 •运行shell命令 •替换C2服务器 •删除自身并删除所有持久性
对于DDoS操作,将检索目标和攻击技术。
攻击包括: •两个TCPFlood实现(一个带有原始套接字) •两个UDPFlood实现(一个带有原始套接字) •IPSpoof攻击 •SYNACK攻击 •SYN攻击 •ACK攻击
ddos_ Rotkit : 尝试通过bash历史记录中找到的现有SSH RSA密钥或IP连接到已知主机:
main_runkshell: 通过rc.d和Systemd服务安装持久性:
Systemd(/etc/systemd/system/linux.service):
rc.d(/etc/rc.d/init.d/linux_kill):
main_runghost: Install persistence through /etc/profile.d (/etc/profile.d/linux.sh) main_rundingshi (漢字: run timing): Install persistence through crontab main_runganran (漢字: run infection): Another persistence technique, backdoor the SSH init script /etc/init.d/ssh to call the rootkit on startup main_runshouhu (漢字: run surgery): Copy the rootkit to /etc/32679 and run it every 30 seconds main_runkaiji (漢字: run boot): Install more persistence init.d files, e.g.: /etc/init.d/boot.local ddos_rdemokill: Check the CPU usage machine periodically and kill if CPU usage exceeds 85%. This can inadvertently kill unrelated processes. Interestingly, this function refers to the rootkit as a demo
在我们自己的沙箱中,我们观察到rootkit往往会调用自身太多次,从而使机器不断积蓄内存:
这以及C2只能暂时运行的事实以及“演示”字符串的存在,使我们相信这是仍在测试中的早期版本。
结论
考虑到黑市论坛和开放源代码项目中的攻击者容易使用的工具,很少看到一个从头开始编写的僵尸网络。在本文中,我们发现了从头开始编写的新的DDoS操作。这再次证实了诸如Palo Alto之类的供应商指出的一条有趣的轨迹 ,即恶意软件开发人员正在将现代语言(例如Golang)用于其操作。
IOCs 4e8d4338cd3b20cb027a8daf108c654c10843e549c3f3da6646ac2bb8ffbe24d 9198853b8713560503a4b76d9b854722183a94f6e9b2a46c06cd2865ced329f7 98aee62701d3a8a75aa19028437bc2d1156eb9bfc08661c25db5c2e26e364dca 0ed0a9b9ce741934f8c7368cdf3499b2b60d866f7cc7669f65d0783f3d7e98f7 f4a64ab3ffc0b4a94fd07a55565f24915b7a1aaec58454df5e47d8f8a2eec22a 9f090a241eec74a69e06a5ffed876c7a37a2ff31e171924673b6bb5f1552814c 370efd28a8c7ca50275957b47774d753aabb6d7c504f0b81a90c7f96c591ae97 357acbacdb9069b8484f4fdead1aa946e2eb4a505583058f91f40903569fe3f3 cu.versiondat[.]xyz 1.versionday[.]xyz www.aresboot[.]xyz www.6×66[.]com www.2s11[.]com