概述
2023年8月份,绿盟科技伏影实验室全球威胁狩猎系统监测到一类未知的elf文件正在大范围传播,这引起了我们的警惕,经过进一步分析,我们确认了这批elf样本隶属于新的僵尸网络家族,伏影实验室将该僵尸网络木马命名为RDDoS。
RDDoS僵尸网络家族的主要功能为DDoS攻击,并且具备命令执行的能力,这也使得它具备的威胁性进一步提高。RDDoS还设置了上线参数来区分感染设备类型,同时通过上线包是否携带运行参数来区分真实设备和沙箱,具备较强的对抗性。
近期以来,RDDOS不断更迭版本,扩大感染范围,在攻击目标的选择上以美国,巴西和法国为主,国内也有受到波及,已构成不小的威胁,这值得引起我们的警惕。
1.1 受感染设备分布
监测数据显示,RDDoS传播范围十分广泛,受感染设备在美国,新加坡,荷兰等地均有分布,国内受感染情况尤为严重,其中上海(53%)和浙江(30%)为重灾区,北京,河南等地也有受到影响。
图1 RDDoS国内受感染设备分布
1.2 攻击目标分布
监测数据显示,RDDoS在攻击活动中倾向于使用ICMP_flood方法对目标24小时不间断的发起DDoS攻击,近八成的攻击活动都采用该方式进行。在攻击目标的选择上,RDDoS首选攻击目标为美国(36%),其次为巴西(22%)和法国(15%),此外,中国,德国以及荷兰等国家也有受到波及。
图2 RDDoS攻击目标分布
2.1 版本变化
从8月份至今,RDDoS不断更迭版本,增加新的攻击方式,甚至对代码结构进行了调整,呈现多个版本同时传播的现象,传播范围较广的版本如下:
表1 版本变化
|
|
|
|
2023年8月底 |
|
|
2023年9月底 |
|
|
2023年10月初 |
|
|
2023年10月中旬 |
|
2.2 传播
RDDoS当前支持arm,mips,x86在内的多种CPU架构,且恶意文件存放站点与C&C并不一致。
图3 RDDoS传播脚本
RDDoS恶意样本中并无内置的传播模块,监测数据显示,大量的RDDoS恶意样本是通过CVE-2021-35394,CVE-2014-8361 在内的漏洞传播到受感染设备,这也从另一个角度说明RDDoS的控制者极大可能拥有独立的传播模块,独立的传播模块在保证传播可控性的同时也可以有效防止0day类关键信息被泄露的可能性。
2.3 主机侧行为
RDDoS在运行时会首先改变当前进程的工作目录为根目录,随后创建子进程,若子进程未创建成功,则直接退出,子进程创建成功后在子进程中继续执行后续功能。
图4 初始阶段
受控端在受害主机上执行时共有两种方式,带参数和不带参数,不同的方式决定了初次上线时的上线包内容,推测攻击者的意图是根据上线内容做出对应的判断,上线参数可以用来区分感染设备类型,此外,若上线包带参数且参数正确,则说明该受控端是攻击者下发的;若受控端执行时不带参,则上线内容拼接“unknow”字符串,说明此木马有可能处于沙箱环境。
图4 执行阶段
2.4 上线包特征
受控端在与控制端建立连接的过程中会拼接命令行参数作为上线包,当无参数传入时拼接“unknown”字符串,如下图所示。
图5 构造上线包
上线时产生的流量如下图所示:
图6 有命令行参数拼接数据包
图7 无命令行参数拼接数据包
2.5 指令分析
上线完成后,受控端等待控制端下发的指令,并依据指令长度,首字节值等参数判断后续操作。执行流程如下:
图8 RDDoS指令处理流程
当接收数据的首字节为“0x02”时,bot进程终止,当接收数据的首字节为“0x03”时,结束前期创建的子进程;当接收数据的首字节为“0x04”时,bot通过/bin/sh执行对应的命令。
图9 指令
当bot接收到数据长度大于13且首字节为“0x05”、“0x06”、“0x07”、“0x08”或“0x09”时执行DDoS功能。
图10 DDoS
DDoS攻击指令解析如下:
表2 指令解析表
|
|
|
recv_buf[0] |
攻击类型 |
1字节,确定攻击类型(如0x05->UDP、0x06->ICMP、0x07->TCP_SYN、0x08->TCP_ACK、0x09->TCP_PSH_ACK) |
recv_buf[1-4] |
目的ip |
4字节,确定目标主机ip地址 |
recv_buf[5-6] |
目的port |
2字节,确定目标主机端口,为0x0000则随机生成 |
recv_buf[7-10] |
攻击时长 |
4字节,确定攻击时长 |
recv_buf[11-12] |
数据包长度 |
2字节,确定发往目标主机的数据包长度 |
recv_buf[13] |
源IP构造 |
1字节,值为1表示源ip随机化,其他值表示源ip为被控主机ip |
RDDoS整体较为精简,是从零开始构建的一个新型僵尸网络家族,近期以来,其控制者不断对该木马更新迭代,增加新的DDoS攻击方式,完善功能。值得注意的是,RDDoS还具备了命令执行能力,这也使得它具备的威胁性进一步提高,近年来,攻击者使用僵尸网络作为渠道,继而以此为立足点发起APT或勒索攻击的事件屡见不鲜。实际上,绝大部分新出现的僵尸网络家族都是该类看上去极为精简的木马,其变种更是层出不穷,我们对该类僵尸网络家族同样需要加强关注。
我们推断该家族在后期仍会活跃一段时间,伏影实验室将持续加强对该僵尸网络家族及其背后运营团伙的监测。
198.98.60.191:52999
198.98.60.191:1997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关于绿盟科技伏影实验室
研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。
绿盟威胁情报中心
绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI)是绿盟科技为落实智慧安全3.0战略,促进网络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。(绿盟威胁情报中心官网:https://nti.nsfocus.com/)
原文始发于微信公众号(绿盟科技威胁情报):警惕新型僵尸网络家族–RDDoS