XLab大网威胁感知系统会对当前活跃的主流DDoS僵尸网络家族进行持续跟踪和监控,最近3个月,这套系统观察到CatDDoS系团伙持续活跃,利用的漏洞数量达80+,攻击目标数量最大峰值300+/d,鉴于其活跃程度,我们整理了一份近期的各种数据分享给社区以供参考。
根据视野内的数据,我们观察到CatDDoS系团伙最近3个月使用了大量的已知漏洞传播样本,总数达80多个。其中某些漏洞暂未找到线索,但根据投递样本的运行参数猜测,可能是0day,比如skylab0day,Cacti-n0day等。
DDoS攻击
下图是视野内的数据,从我们的系统中可以方便地查询CatDDoS的历史活跃情况以及各个维度的详细信息比如cc、指令、被打目标等。可以看到CatDDoS攻击目标遍布全球,主要分布在美国、法国、德国、巴西、中国等,被攻击目标分布在云厂商,教育、科研、信息传输、公共管理、建筑等行业。
通过对Telegram相关频道的观察,我们推测CatDDoS应该就是去年12月份关停的 Aterna Botnet,该频道的历史消息如今已经删除,下图是作者在群里发布的关停通知。在关停后由于出售或泄露了源代码,导致陆续出现了新的变种,比如RebirthLTD、Komaru、Cecilio Network等。
v-snow_slide最早发现于2023年10月,在Aterna关停后 v-snow_slide的指令数量骤降,我们推测v-snow_slide还是由Aterna开发运营。通过逆向分析发现保留了大量Fodcha僵尸网络的代码,比如运行成功后输出”snow slide”、使用xxtea解密字符串、使用OpenNIC域名作为C2、在通信协议部分也拥有相同的switch-case结构以及流量加密算法(xxtea+chacha20),莫非是Fodcha借尸还魂?此外比较有意思的是这个变种在上线时使用了诸如N3tL4b360G4y、paloaltoisgaytoo等字样,表达了作者对于安全厂商的“致敬”。
详细内容请访问:
https://blog.xlab.qianxin.com/catddos-derivative-cn/
原文始发于微信公众号(奇安信XLab):CatDDoS系团伙近期活动激增分析
