Boat僵尸网络家族的演变

    Boat 僵尸网络家族由绿盟科技伏影实验室于2022年6月份首次发现并对外发布^①。其命名源自于该家族早期版本的恶意样本以“boat”文件名传播，同时由于该家族后期版本中部分恶意样本保留了符号信息，存在大量以“ripper_*”命名的函数，安全社区也称之为Ripper家族。

    2023年8月份，绿盟科技伏影实验室全球威胁狩猎系统监测到Boat家族版本更迭速度加快，活跃度也在显著提高，已成长为不容忽视的威胁源。经过一年多的发展，Boat僵尸网络家族功能趋于完善，已衍生出诸多变种，Boat家族在增强隐匿性上的诸多尝试及其可能存在的独立传播模块再次引起了我们的关注。我们将通过本文来梳理Boat家族近一年以来的变化。

2.1 传播

    我们对最新捕获到的攻击者资产进行了梳理，发现Boat家族的控制者拥有大量传播脚本，其名称不尽相同。

图2.1 Boat控制者“武器库”

    Boat家族的传播脚本命名似乎透露着潜在攻击目标的信息，比如“android”（针对android），“ruckus”（针对ruckus）等,常用的传播脚本名如下：

表2.1 Boat家族传播脚本名

    值得关注的是攻击者拥有大量以“exploit.*”命名的传播脚本，推测攻击者有过利用漏洞来散布恶意软件的尝试，但Boat木马中并无内置漏洞利用模块，该家族已知的传播方式以弱口令爆破为主，所有的线索似乎都暗示着Boat的控制者还拥有独立的传播模块。

    实际上，近年来我们监测到僵尸网络木马将传播模块与木马本体分离的趋势越来越明显，独立的传播模块在提高传播的可控性的同时也有利于隐藏攻击者资源，防止0day漏洞类重要信息被分析截获。

2.2 扫描

    Boat家族早期版本在上线交互过程中C&C会下发弱口令对，后期版本对整体设计进行了修正，将弱口令对直接用于扫描模块，比原版更加合理。

图2.2 Boat下发的弱口令

    通常情况下，僵尸网络的控制者习惯于将弱口令对内置于恶意样本当中，或者存储在专门的密码本里，这种直接将弱口令通过C&C通信流量下发的方式是较为少见的。

图2.3 Boat扫描模块

2.3 通信协议

    在近一年的时间里，Boat家族一直在尝试不同的通信方式，其中最常见的是基于TCP协议的版本，后续出现基于UDP 协议与 C&C 通信的版本。

图2.4 Boat通信模块

    Boat家族还曾尝试过利用tor代理进行通信，但在后续版本中放弃了该方式。

图2.5 Boat基于tor代理通信的尝试

    近年来，僵尸网络的运营者不断在增强僵尸网络通信隐匿性方面进行各种尝试。或是选择隐匿性更强的tor代理进行通信，或是设计复杂的交互逻辑。在一定程度上，攻击者比防守方更愿意投入更多的资源，这值得引起我们的重视。

2.4 版本

    Boat 僵尸网络家族变种诸多，呈现出多个版本同时活跃的现象，活跃度较高的几个版本如下：

表2.2 Boat家族版本更迭情况

    发展至今，该家族恶意样本几乎覆盖所有常见IoT架构。

表2.3 Boat家族架构

    我们注意到Boat家族的各个版本中皆存在不同程度粘贴Mirai家族源码的现象，攻击者在构建新的僵尸网络家族时会使用已知家族的部分代码，这不仅仅是为了图便利代码复用，而且可以通过此种方式欺骗杀毒引擎，降低被单独拎出进行人工分析的概率。与构建0检测的全新家族相比，这种方法更不容易引人注意。

    近一年以来，Boat家族的控制者极其重视木马的隐匿性，先是有意添加mirai等僵尸网络家族的特征代码，以此来欺骗杀毒软件引擎，降低被人工分析的概率；也曾尝试通过tor，Socks5代理等方式来达到更好的隐匿效果；Boat的控制者还极有可能拥有独立的传播模块，可以保护漏洞资源不被轻易泄露。Boat家族版本更迭速度极快，多个版本同时传播，活动范围极广，木马原创度高，其背后存在着专业化的攻击团伙。伏影实验室将持续加强对Boat家族及其控制者的监控。

0bd4197fedbf6b3141427067f548d1acd65c5924f906ff3246602e8258e62b72
117d63cd098e29467fabf02345075a31c4cd735a18119e9206943f43e0e105ad
1233ae9e89ffb77b247aeb998e453a83bc96496aa171e0fde8322199f779cbc8
141ab6882632101808a6338e0a5cfd7b031cc2b3f6e152b700afd2653298bb5e
d4f9b424a1639bc3c46726e4f72c259bf6b9ca33af7377490b1bb292867603e7
A0FFF5A783E05DDC95A6951F3DD9E31E88CD2E0591605F0543D0F7186B83B11D
9a86408d4f16a39f61889f61713eecd68ff8e8a246df7f2a0d04c02a672d5fc9
e97f19050259ff7207e09241b55c98bebc8eb4ac3b94b1251beb07bb60e00061
9230ce12254f7a0960ec9c8add482c2db6ed7cf863439cab65390145586ad07e
9a86408d4f16a39f61889f61713eecd68ff8e8a246df7f2a0d04c02a672d5fc9
df5655ee4f33d8597fd9bd174042880cd3600a44b5dff69df996841d0c0db18e
aff3e8167b01998037b2eb04703d5c7007e3ac6d6ffb1de5a193b201a0802693
6b60da1f062d5ac0a1834e7ca0ad4bda
6e11f805db7c9acf6d1784796235aea3
8591f0616e7e0051e949e8dad960fcad
38214ee8a8add498e4fb6e497b5d24a2
190587c78ce2bcad72f0bd1198617746
a151900e43f3a9adad7a31de8f7e49e3
d18ef9ad1cbbc56046e93e388cc5d2c9
172.245.186.189
46.249.32.102
162.33.23.74
85.217.144.191
194.55.224.126
194.55.224.182
87.120.88.117

87.120.88.118

149.57.171.148

^①http://blog.nsfocus.net/boat-booat-0day/