Kaiji僵尸网络重出江湖,Ares黑客团伙浮出水面?(4)
时间:2023-03-03 01:14 来源:网络整理 作者:默认发布 点击:次
Kaiji_Pro 尝试拷贝样本为 "/etc/opt.services.cfg" 文件,并在 "/etc/32677" 位置写入并运行一个持久化的sh脚本。但是作者在处理sh脚本文件名时,对明文的文件名进行了一次解密函数的调用,导致sh脚本文件名变成乱码,最后导致恶意的sh脚本不会被执行。 样本尝试替换 "/usr/bin/" 下的ls、ps、ss、dir、netstat、find、lsof命令文件,使得用户在失陷机器上使用上述命令时,会先执行恶意样本。在样本运行时通过对文件名进行判断,并在 "/usr/lib/include/" 下调用一遍真正的命令文件,同时打印命令输出。但由于部分代码缺失,将导致 "/usr/lib/include/" 路径为空的情况。最终导致失陷机器无法正常执行上述命令。 因此我们猜测最新的变种样本是由 Ares 团伙新成员编写,对样本熟悉度并不高。 3.4 通信协议 Kaiji_Pro 与 C2 的通信使用 TLS 加密,相较于旧版本,新版本不再使用 "<<<<!!>>>>" 来做消息分隔,并且还新添加了数据头部,该头部由长度为50字节的硬编码数据与可变且无实意4字节组成。下发的指令包括修改bot配置,功能指令、攻击指令,相比旧版本添加了针对 Websocket 协议的攻击类型支持,作者对其攻击类型的分类如下: 3.5 传播方式 通过漏洞与密码爆破进行传播,近期使用的漏洞如下表所示:Vulnerability Vendor CVE-2021-22204 ExifTool CVE-2021-22205 Gitlab CVE-2017-0144 Windows SMB CVE-2014-8361 Realtek SDK MVPower DVR - Shell Command Execution MVPower DVR 4. Moobot_jack5tr 分析 Moobot_jack5tr 是该团伙拥有的一个规模极大的僵尸网络,该变种由 Moobot_Xor 修改而来,这里以 x86样本为例,主要分析与原版的差异,样本信息:文件名 文件大小 文件MD5 huax86 55632 bytes EB33936E405C636CDA405F9D8EB8A5EC 4.1 命令行执行 该变种有一明显特征,在主函数开始后会首先拼接一个命令字符串执行,该命令行主要作用是创建一个bin目录进行样本隐藏,名称从busybox 、watchdog、systemd等正常程序名中随机选取: |