Kaiji僵尸网络重出江湖,Ares黑客团伙浮出水面?(2)
时间:2023-03-03 01:14 来源:网络整理 作者:默认发布 点击:次
Kaiji僵尸网络在被曝光时Intezer团队及MalwareMustDie 小组将其归属至中国,其原因是该家族样本的函数命名及下发指令解析方式均是以汉语拼音或汉字,我们在对 Ares 团伙资产进行分析时也确认了这一点,该团伙在编写Web页面时也习惯使用中文进行注释。 同时在溯源时发现了疑似团伙成员的中国开发者,该成员曾经运营过一个黑客技术交流论坛: 在去年还为其论坛购买过广告服务: 当前该论坛已变更为DDoS服务租赁平台(攻击者将其合法地解释为压力测试),并且声称不允许攻击政府、银行或教育网站: 2.6 攻击动向 在对 jack5tr 进行监控的过程当中,我们发现该团伙参与了俄乌的网络战争,在去年11月初监测到 jack5tr 对乌方阵营的重要目标进行DDoS攻击,我们暂时无法确定这次攻击是来自 Ares 黑客团伙还是某个租赁该组织攻击服务的用户。参与此次针对乌克兰攻击的 Moobot_jack5tr 的CC域名为 " s7.backupsuper.cc"。 3. Kaiji 变种分析 新变种 Kaiji 中上线包中包含字符串 "专业版",因此我们将该变种命名为 Kaiji_Pro:文件名 文件大小 文件MD5 linux_amd64 5234688 bytes A7124B85C126414AD96ED0143B827B55 3.1 配置文件 Kaiji_Pro 中使用配置文件来保存其指令。样本运行时会在本机保存一个加密存储的配置文件,其文件名为 ".walk.lod",路径依次从以下选取 "/dev"、"/etc"、"/mnt" 、"/opt"、"/sys" 、"/usr" 、"/run" 、"/var/run" 、"/tmp",配置命令以 "[a=r=e=s]" 为分隔符:参数 含义 Pid 读取到这个参数会杀死PID对应进程。 Begin、End 描述一个IP地址范围,DDoS时替换源IP。 (责任编辑:admin) |