1. 概述
分析师在对 Kaiji 僵尸网络变种进行关联时,意外发现 Kaiji 僵尸网络竟然和我们正在跟踪的一个巨型僵尸网络租赁团伙有关,在本文中我们将披露这个来自中国的黑客团伙 —— Ares。
2. Ares 黑客团伙
2.1 团伙命名
2.2 团伙资产
Ares 团伙除了拥有 Kaiji 僵尸网络以外,还拥有多个其他家族的僵尸网络,其中包括了Mirai、Moobot及Lucifer,其中Moobot家族数量极大,且在原版基础上经过修改,我们在去年开始跟踪此团伙时将此变种命名为Moobot_jack5tr。
资产及关联如下图:
2.3 巨型租赁僵尸网络
Ares 黑客团伙拥有一个数量庞大的僵尸网络并且提供租赁服务,该团伙同时运营着多个租赁平台,下面提供了该团伙部分拥有的平台数据图,从中可以看出其使用者数量众多,发起过极大数量的DDoS攻击:
DDoS 攻击租赁价格部分如下:
2.4 挖矿活动
2.5 团伙所属国家及成员
Kaiji僵尸网络在被曝光时Intezer团队及MalwareMustDie 小组将其归属至中国,其原因是该家族样本的函数命名及下发指令解析方式均是以汉语拼音或汉字,我们在对 Ares 团伙资产进行分析时也确认了这一点,该团伙在编写Web页面时也习惯使用中文进行注释。
同时在溯源时发现了疑似团伙成员的中国开发者,该成员曾经运营过一个黑客技术交流论坛:
在去年还为其论坛购买过广告服务:
当前该论坛已变更为DDoS服务租赁平台(攻击者将其合法地解释为压力测试),并且声称不允许攻击政府、银行或教育网站:
2.6 攻击动向
参与此次针对乌克兰攻击的 Moobot_jack5tr 的CC域名为 ” s7.backupsuper.cc”。
3. Kaiji 变种分析
|
文件名 |
文件大小 |
文件MD5 |
|
linux_amd64 |
5234688 bytes |
A7124B85C126414AD96ED0143B827B55 |
3.1 配置文件
|
参数 |
含义 |
|
Pid |
读取到这个参数会杀死PID对应进程。 |
|
Begin、End |
描述一个IP地址范围,DDoS时替换源IP。 早期版本这两个参数仅通过C2指令控制,分别叫ipbegin和ipend。 |
|
Backdoor |
后门模式标志位,影响C2选择。 |
|
Remarks |
Bot标记,默认为 “专业版“。 |
除了Pid,其余参数都能通过C2指令来修改,并且这些参数将同步加密保存到本地的配置文件中,Bot在发送上线包时,同时会上报载入的配置参数。
3.2 隐藏手段
Kaiji_Pro 的隐藏位置与启动方式如下表:
|
恶意程序 |
启动方式 |
|
/etc/opt.services.cfg |
写入shell脚本/etc/32677,脚本每60秒启动一次opt.services.cfg,32677由样本启动运行。 |
|
/usr/lib/libgdi.so.0.8.1 |
写入shell脚本/.mod,脚本程序写入定时任务。 |
|
/lib/system-mark |
注入“/etc/rc.d/init.d/”、“/etc/init.d/”、“/etc/rc.d/”路径下的shell脚本调用执行。 |
|
“/usr/bin/”下的ls、ps、ss、dir、netstat、find、lsof |
用户执行命令时运行。 |
|
/tmp/seeintlog |
通过伪装系统命令被执行时,在执行真正命令后调用。 |
|
/usr/sbin/ifconfig.cfg |
注入“/etc/rc.local”、“/etc/rc.d/rc.local”、“/etc/init.d/boot.local”文件运行。 |
|
/etc/profile.d/bash_cfg |
写入“/etc/profile.d/bash_cfg.sh”脚本调用执行。 |
|
/boot/System.mod |
l 注入服务配置文件 “/usr/lib/systemd/system/quotaoff.service”,通过服务启动 l 使用audit2allow工具,添加为SELinux的策略模块并使用semodule安装 l 添加dns-tcp4服务,其配置文件指向恶意程序 |
3.3 新变种BUG
Kaiji_Pro 尝试拷贝样本为 “/etc/opt.services.cfg” 文件,并在 “/etc/32677” 位置写入并运行一个持久化的sh脚本。但是作者在处理sh脚本文件名时,对明文的文件名进行了一次解密函数的调用,导致sh脚本文件名变成乱码,最后导致恶意的sh脚本不会被执行。
样本尝试替换 “/usr/bin/” 下的ls、ps、ss、dir、netstat、find、lsof命令文件,使得用户在失陷机器上使用上述命令时,会先执行恶意样本。在样本运行时通过对文件名进行判断,并在 “/usr/lib/include/” 下调用一遍真正的命令文件,同时打印命令输出。但由于部分代码缺失,将导致 “/usr/lib/include/” 路径为空的情况。最终导致失陷机器无法正常执行上述命令。
因此我们猜测最新的变种样本是由 Ares 团伙新成员编写,对样本熟悉度并不高。
3.4 通信协议
下发的指令包括修改bot配置,功能指令、攻击指令,相比旧版本添加了针对 Websocket 协议的攻击类型支持,作者对其攻击类型的分类如下:
3.5 传播方式
|
Vulnerability |
Vendor |
|
CVE-2021-22204 |
ExifTool |
|
CVE-2021-22205 |
Gitlab |
|
CVE-2017-0144 |
Windows SMB |
|
CVE-2014-8361 |
Realtek SDK |
|
MVPower DVR – Shell Command Execution |
MVPower DVR |
4. Moobot_jack5tr 分析
|
文件名 |
文件大小 |
文件MD5 |
|
huax86 |
55632 bytes |
EB33936E405C636CDA405F9D8EB8A5EC |
4.1 命令行执行
4.2 开启 httpd 服务
4.3 通信协议
5. IoCs
EB33936E405C636CDA405F9D8EB8A5EC
4C49020AA15D1C8830BBDAAB504F0FF1
0AD295E94B262DD3A1C52BFBD028F954
FA9F27C7E1CBD0B6EF96F5E43792E195
C12BCA1EF3EFF76DA18989BE0C237B5B
A7124B85C126414AD96ED0143B827B55
A3A697C0E2B18D9CCD53B8FB77BB4176
A2966E013D93A6080EE2795118BCD518
4F8AF0DF4B45FD6A891AB3D1330285B2
7077D4E803FBC23E221FB0E381A3EBDF
B20370C5A3747DB5CDF27C1FF2E4B3B7
C&C:
Moobot_jack5tr:
104.244.76.7: 56999
s7.backupsuper.cc:56999
vds.hostlookl.cc:56999
adsl.testapiss.online:56999
gang.monster:56999
control.rawrgaming.icu:56999
Kaiji_pro:
www.chaosii.com
www.2s11.com
llkh.net
998n.f3322.net
23.224.143.170:8000
193.29.15.178:19329
193.29.15.178:32677
205.185.117.18:8080
104.218.236.103:32677
163.197.248.66:8888
205.185.117.18:8888
23.224.143.170:8888
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):Kaiji僵尸网络重出江湖,Ares黑客团伙浮出水面?
