Z6尊龙凯时

首页 > 关于Z6尊龙凯时 > 新闻动态 > 深度解读

阴影中的巨兽：物联网僵尸网络Andoryu近期转变剖析

宣布时间 2023-06-14

Z6尊龙凯时与广州大学网安学院发明了物联网僵尸网络Andoryu的新型变种Andoryu_V2。。。本文将从僵尸网络规模、撒播方法、样本手艺剖析三方面，，，，，，对该僵尸网络撒播、熏染、C&C控制、攻击全生命周期细节等举行先容，，，，，，可作为各行业及相关企业制订网络清静战略的参考。。。

2023年3月尾，，，，，，Z6尊龙凯时在加入国家重点研发妄想项目“大规模异构物联网威胁可控捕获与剖析手艺（2022YFB3104100）”的研究历程中，，，，，，发明了基于Socks5协议的物联网僵尸网络Andoryu的新型变种（Andoryu_V2）。。。

Andoryu_V1版本已于今年2月份被首次揭破，，，，，，本次我们将比照剖析Andoryu_V2版本和Andoryu_V1版本，，，，，，详细泛起出该僵尸网络撒播、熏染、C&C控制、攻击全生命周期细节。。。别的，，，，，，通过2个多月的监测剖析发明，，，，，，我们发明Andoryu_V2版本有新增使用CVE-2022-30525、CVE-2023-25717误差的行为，，，，，，新增署理效劳器凌驾130个，，，，，，反应出该僵尸网络进一步扩张的意图，，，，，，需要增强清静提防。。。同时，，，，，，我们还发明该僵尸网络与Fbot可能具有一定的关联性。。。

僵尸网络规模

监测剖析发明，，，，，，Andoryu僵尸网络平均日增上线境内肉鸡数（IP数盘算）凌驾1500台，，，，，，正处于生长初期。。。2023年4月尾到5月初，，，，，，Andoryu有一次较量大规模的撒播，，，，，，日存活量凌驾2000。。。

Z6·尊龙凯时「中国区」官方网站

撒播方法

阻止到现在，，，，，，我们视察到Andoryu主要使用NDay误差撒播。。。所用误差列表如下：

Z6·尊龙凯时「中国区」官方网站

2023年2月-3月，，，，，，Andoryu多使用CVE-2021-22205、LILIN DVR RCE误差撒播。。。

2023年4月，，，，，，新加入CVE-2023-25717的使用，，，，，，一个Ruckus Wireless装备的误差。。。使用乐成后下载执行剧本文件ruckus.sh，，，，，，以植入Andoryu。。。

2023年5月8日，，，，，，我们监控到对Zyxel防火墙远程下令注入误差CVE-2022-30525的使用。。。

Z6·尊龙凯时「中国区」官方网站

在可预见的未来，，，，，，Andoryu很可能还会加入新误差的使用，，，，，，富厚其武器库。。。

样本手艺剖析

Andoryu僵尸网络支持多种CPU架构，，，，，，包括arm、m68k、mips、mpsl、sh4、spc和x86等。。。以下是主要转变比照：

Z6·尊龙凯时「中国区」官方网站

在本文中，，，，，，我们主要以5月8日的V2样本为主举行剖析，，，，，，并穿插先容V1到V2样本的主要迭代转变。。。这些转变的细节可能包括代码逻辑的微调、加密算法的调解等。。。整体而言，，，，，，Andoryu僵尸网络坚持了相对稳固的基础架构和C2通讯模式。。。

1、初始化

为对抗沙盒等模拟情形的自动化剖析，，，，，，与其它盛行僵尸网络相同，，，，，，Andoryu运行时首先会对启动参数举行检查，，，，，，以确保自身的清静性。。。若是不携带参数，，，，，，则直接退出。。。差别于其它家族的是，，，，，，Andoryu运行后会将启动参数发送至C2效劳器举行特另外二次校验。。。

当参数准确时，，，，，，则进入执行流程：历程名伪装、解密资源，，，，，，随后和C2建设通讯并期待执行C2下发的指令。。。

在V2版本中会将历程名伪装成"DvrHelper"或者"-bash" ，，，，，，V1则为"/bin/bash"。。。解密敏感资源V2版本使用的是异或，，，，，，而在V1版本中使用的是某种魔改版的xxtea算法解密：

Z6·尊龙凯时「中国区」官方网站

有趣的是，，，，，，资源解密事情完成之后，，，，，，Andoryu将在Console上打印解密出的字符串"Project Andoryu (12/30/2022). What color is your botnet" 或"Andoryu botnet started (12/30/2022)"，，，，，，这批注Andoryu很可能是2022年12月30号启动的项目。。。

2、通讯协议

监测发明，，，，，，绝大大都Andoryu的样本均不直接与C2举行通讯，，，，，，而是通过Socks5署理效劳器举行转发，，，，，，泛起两层控制结构。。。5月8号的V2样本曾短暂去除Socks5署理，，，，，，但厥后很快又恢复。。。在V1版本只有一个署理效劳器，，，，，，V2版本便增添至130多个。。。

Z6·尊龙凯时「中国区」官方网站

在C2通讯交互上，，，，，，Andoryu与Fodcha很是类似，，，，，，通过状态码切换以执行差别操作：

Z6·尊龙凯时「中国区」官方网站

主要状态如下：

Z6·尊龙凯时「中国区」官方网站

Andoryu在与C2效劳器举行通讯时，，，，，，使用定长为2152字节的数据结构封装。。。V1和V2都是云云，，，，，，整体封装结构如下：

Z6·尊龙凯时「中国区」官方网站

以上线数据为例：

Z6·尊龙凯时「中国区」官方网站

首个4字节为公网IP；；；４字节随机数据24 52 ae 57；；；2字节20 21为数据类型，，，，，，体现为上线数据；；；4a d8 74 50 4d de 为xor加密后的数据内容，，，，，，解密后现实为启动参数。。。

Z6·尊龙凯时「中国区」官方网站

32字节sha256校验和5d 7f 05 6e...67 7b 05 68；；；偏移0x84C处 06 00 00 00 体现payload长度；；；偏移0x854处86 0f 为内存巨细�。。�，，，，0x0f86即为3974M；；；最后payload的异或Key随机天生，，，，，，并生涯在上线数据的偏移0x861-0x864处，，，，，，本例是38 ad 17 3b。。。

随后C2返回简直认数据，，，，，，前4字节是C2 地点，，，，，，本例是68 ea ef b0。。。随后4字节是随机数据c7 fc b8 00。。。再之后2字节的20 22代表是确认数据，，，，，，至此，，，，，，Andoryu上线乐成。。。

Z6·尊龙凯时「中国区」官方网站

3、攻击指令

Andoryu的攻击很活跃，，，，，，我们监控到许多次C2返回的DDoS攻击下令，，，，，，如下一例：

Z6·尊龙凯时「中国区」官方网站

下令剖析如下：

Z6·尊龙凯时「中国区」官方网站

payload异或解密后为"udp-plain 135.xx.xx.xx 60 dport=53 psize=150"，，，，，，随后Andoryu向135.xx.xx.xx:53提倡udp-plain DDoS攻击：

Z6·尊龙凯时「中国区」官方网站

Andoryu对C2下令的处置惩罚函数没有任何转变，，，，，，以下是2月和5月样本的比照：

Z6·尊龙凯时「中国区」官方网站

现在，，，，，，Andoryu共支持6类指令，，，，，，包括DDoS攻击下令，，，，，，如下：

Z6·尊龙凯时「中国区」官方网站

Andoryu支持3种协议(tcp、udp、icmp)共16个DDoS攻击类型，，，，，，包括tcp-raw、tcp-socket、tcp-cnc、tcp-handshake、tcp-ovh、tcp-bypass、udp-plain、udp-game、udp-ovh、udp-raw、udp-vse、udp-dstat、udp-bypass、udp-hex、udp-rhex、icmp-echo。。。

Z6·尊龙凯时「中国区」官方网站

4、与其他家族的关联

Andoryu和C2的通讯交互在代码层面和FodCha很是类似，，，，，，都是一个永真的While循环，，，，，，通过switch-case举行各个阶段的处置惩罚。。。到现在为止，，，，，，这种方法是已知僵尸网络里唯二的例子。。。另外，，，，，，Fodcha V3也使用xxtea加密算法，，，，，，而Andoryu V1是使用某种魔改版的xxtea。。。

这似乎批注，，，，，，两者也许有某种关联，，，，，，但除了上述两点，，，，，，暂时没有更多实锤证据。。。不过，，，，，，Andoryu和Fbot有确切的关联，，，，，，他们一经使用统一个C2。。。5月13号的V2样本里，，，，，，通过socks5毗连C2效劳器dnsresolve.socialgains.cf:10333。。。

Z6·尊龙凯时「中国区」官方网站

而在5月4号，，，，，，我们监控到有Fbot样本使用dnsresolve.socialgains.cf:61002作为自己的C2效劳器。。。我们会继续跟踪视察，，，，，，查找Andoryu和其它家族的关联。。。

5、IoC

Z6·尊龙凯时「中国区」官方网站

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? Z6尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】