概述
2023 年 7 月底,我们的未知威胁监控系统监控到IP地址 185.224.128.141 疯狂暴破常见 Telnet 服务端口并传播一款 Go 语言编写的 DDoS 僵尸网络木马。经过我们分析,该家族是曾被我们曝光过的 RedGoBot 的新变种。
该家族变种样本部分功能借鉴 Mirai 的设计,比如编写专门的 ensureSingleInstance() 函数,通过监听本地端口来保证单一实例运行,还会以类似的 Killer 机制杀掉特定的进程。比起旧版本,新版样本另一个明显的变化是把所有重要字符串均用 Base64 编码,运行种实时解码使用。在传播最新的变种样本之前,RedGoBot 还短暂传播了一个中间过渡版本,样本核心功能与最新版本一致,只是内部字符串都没有用 Base64 编码,而且其中还有 Windows 版本的样本。
进过深入分析,我们把此变种命名为 RedGoBot_v2,该 Botnet家族近期传播趋势如下:
样本功能更新
字符串加密
新版本 RedGoBot 的关键字符串都存在Base64编码,运行时会在使用字符串前通过函数将字符串解码:
Init 函数
通过 Go 语言的 init 函数初始化批量解密样本 Kill 函数中所需的白名单目录或文件名字符串,与旧版本相同样本会尝试杀死"可疑竞争对手"的进程:
持久化
旧版本 RedGoBot 会创建一个恶意服务实现持久化,服务详情如下
而新版本使用了四种不同的方法实现持久化:
-
通过创建服务:
-
通过修改 bashrc 文件,在当前用户主目录的 .bashrc 文件末尾添加恶意代码:
-
通过创建 init 文件夹的 conf 文件:
-
通过利用 crontab 命令:
单例运行
通过监听端口确保单个实例,对应端口为32183:
传播方式
新版本除了保持了旧版本中类似 Gafgyt 家族的 Telnet 暴破传播机制,还加入了 SSH 暴破方法。其中 Telnet 服务针对的端口有 7 个,分别是 23/2323/80/5523/2601/2002/1025:
并为 Telnet 服务爆破准备了 219 组弱口令:
对于 SSH 服务的暴破,针对的 SSH 服务端口有 5 个,分别是 22/2222/8888/8443/443
并为 SSH 服务暴破准备了 67 组弱口令
一旦暴破 SSH 或者 Telnet 服务成功,失陷主机中将执行下面的恶意命令:
DDoS攻击
新版本 RedGoBot 中 DDoS 攻击方法依然基于 Golang Interface 实现,并且作者新包装了一个名为main_getAttack() 的攻击函数:
并且此次发现的版本相较于旧版本添加了多个DDoS攻击方法,新加入的方法如下:
|
Name |
Description |
|
HttpCache_Send |
HTTP Flood (Cache) |
|
HttpHead_Send |
HTTP Flood (Head) |
|
IPIP_Send |
IP DDoS |
|
OVHBypass_Send |
OVH DDoS |
|
Ssh_Send |
SSH DDoS |
总结
下面为 RedGoBot_v2 版本的另一C2服务器地址的近期传播趋势,可以发现作者最近几天正在进行传播测试:
通过此次分析及之前我们对 RedGoBot 僵尸网络相关披露可以得出以下结论:
-
该团伙对于僵尸网络的编写及运营极为熟练; -
该团伙除了RedGoBot外还拥有其他多个僵尸网络,包括RedSocksBot、Mirai等;
-
该团伙对Windows平台同样下发过后门木马文件,不限于攻击Linux平台散布僵尸网络样本,但 Windows 平台样本的蠕虫传播能力还是针对 Linux 平台的 Telnet 和 SSH 服务。
IOCs
wq.gy
alternatevm.us
194.55.224.36:6002
Mirai C2:
cnc.wq.gy
cnc.hpyq.cc
cnc.biggieboat.cc
Download URL:
hxxp://185.224.128.141/linux/bins.sh
hxxp://194.180.49.171/linux/bins.sh
MD5:
dcecb4260d05460f75efbc8411f85bec
d7025e72a344bffa7475d7145ff60142
21f6c6644eef92015f88ac1105225408
ff2b13413318142ccb8843299e946fc6
39e70806b717bfc670682bb2b5f6d4a6
3588e0aca3d154b080f46420844bb895
b9fea51c6612715d37020c28ba2d10ce
c3869061a13948549261153e4bb8e93a
ac472c260ad65cdd6babfd2ea13a1d96
c5c2d5b4d4a426ea03be2d41c2498732
886bc578a55604a99e2e9a1903b9af7a
ec5ce68f2354acd0fb538347f098cc05
7c3d7aeb50a4619628428626b85782b5
efec7a2bd92e111716580d79614cda64
31fe0e51626ca2cc7ef520c774748d7a
73a1daf7fbe4ab671d621110c4ed4b02
b79fcc89b74ce2dd12b55c3f36c0ddcf
bf2a4ca1b03dc35fcc4595ad3f03a4d2
ba9da2db798a9d0d2cb116d84ece3df2
e188aacfedf07e6ed629dcaf46eadb97
a5ce1f5b5db5e7574b30379ca26d1551
eb575f965d662a93eaf17999e869b227
c0e9817868eed90cd7a97f9147cde5d6
fbef20c6ec117784243dda663f2889ba
f309c9a475969a731578474527fadfcb
b8956fffc8b12b4effc0d528c77a5b77
75b0ca83968e353d1c823b1e77f9d187
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):RedGoBot新变种近期活动分析
