Z6尊龙凯时

首页 > 关于Z6尊龙凯时 > 新闻动态 > 深度解读

破壳而出：全新物联网僵尸网络AuthBot浮出水面

宣布时间 2023-08-07

Z6尊龙凯时与广州大学网安学院发明了一个新的物联网僵尸网络，，，，，并将其命名为AuthBot。。。。。本文通过对该僵尸网络举行样本手艺剖析，，，，，周全先容了其执行流程、通讯协议、控制下令等细节，，，，，以作为各行业及相关企业制订网络清静战略的参考。。。。。

2023年7月尾，，，，，Z6尊龙凯时在加入国家重点研发妄想项目“大规模异构物联网威胁可控捕获与剖析手艺（2022YFB3104100）”的研究历程中，，，，，发明了一个新的物联网僵尸网络家族。。。。。在VirusTotal上，，，，，大部分杀毒引擎将其识别为Mirai或者Gafgyt。。。。。经由详细剖析，，，，，确认完全没有复用Mirai、Gafgyt的任何源代码。。。。。

鉴于样本包括字符串AuthBot，，，，，且会加密作为上线数据发送给C2，，，，，我们将其命名为AuthBot。。。。。AuthBot设计了自界说加密算法用于加密和C2的通讯。。。。。现在，，，，，其功效并不完善，，，，，只实现了心跳等有限功效，，，，，并不包括DDoS攻击等功效。。。。。

有理由相信，，，，，我们正在见证一个全新物联网僵尸网络的“破壳而出”。。。。。

样本手艺剖析

现在AuthBot只支持amd64，，，，，暂时没发明其它CPU架构的样本。。。。。AuthBot接纳UPX加壳，，，，，并改动UPX幻数来对抗脱壳。。。。。将UPX幻数“YTS\x99”重新改为“UPX!”，，，，，即可乐成脱壳。。。。。

Z6·尊龙凯时「中国区」官方网站

1、执行流程

和大大都僵尸网络差别，，，，，AuthBot会首先毗连C2，，，，，毗连失败退出历程。。。。。在和C2建设通讯之后，，，，，才执行其它操作，，，，，如修改自身历程名等。。。。。这是由于它硬编码的加密字符串需要用到C2返回的密钥来解密。。。。。AuthBot的C2地点直接使用二进制举行赋值，，，，，而非字符串。。。。。

Z6·尊龙凯时「中国区」官方网站

在和C2效劳器建设通讯之后，，，，，执行启动流程：解密字符串资源、发送CPU架构名称到C2效劳器、历程名伪装、自拷贝至/usr/bin/BoxBusy。。。。。

随后进入循环，，，，，执行select函数，，，，，吸收执行C2下发的指令。。。。。需要指出的是，，，，，在循环函数里，，，，，AuthBot会获取父历程所翻开的文件名称。。。。。若是所翻开的文件名称包括“/proc/”或者“socket:[”，，，，，则把父历程名称加密发送给C2，，，，，同时实验kill父历程。。。。。这是在实验检测调试器或者沙箱沙箱情形特征。。。。。

2、通讯协议

AuthBot和C2的通讯协议并不重大，，，，，只需要4轮即可与C2建设通讯。。。。。AuthBot和C2的通讯数据经由两层加密，，，，，外层是异或，，，，，内层接纳其自己实现的数学运算方法加密，，，，，详细加、解密算法的伪代码划分如下：

Z6·尊龙凯时「中国区」官方网站

以下是运行样本现实流量：

Z6·尊龙凯时「中国区」官方网站

Step1：Bot→C2

AuthBot天生8到15字节的随机字符串作为XOR密钥，，，，，用于后续通讯加密。。。。。接着异或加密字符串"AuthBot "，，，，，把XOR密钥字符串和密文拼接起来，，，，，并使用自界说算法加密它们，，，，，发送至C2。。。。。

Z6·尊龙凯时「中国区」官方网站

Z6·尊龙凯时「中国区」官方网站

以上述截图里的数据为例，，，，，“a78f928fa5a799979d9daa908e8f9b28421a160d431e256f”经由内层算法解密后是“7763666375776B696F6F786462636D203616120B37181F49”。。。。。

Z6·尊龙凯时「中国区」官方网站

Step2：C2→Bot

C2返回17字节加密数据，，，，，经由异或和自界说算法解密后为“Accepted GoAwayMr”。。。。。前8字节“Accepted”批注毗连C2乐成，，，，， “GoAwayMr”同样是密钥，，，，，用于解密自身加密字符串。。。。。

Z6·尊龙凯时「中国区」官方网站

以上述截图里的数据为例，，，，，“12ece9f2d5d3faf94704e501c5eec604c1”经由异或解密之后，，，，，是“658f8f91a0a49190286b9d65a78dab73a2”。。。。。

Z6·尊龙凯时「中国区」官方网站

“658f8f91a0a49190286b9d65a78dab73a2”经由自界说算法解密后正是“Accepted GoAwayMr”。。。。。自界说算法解密如下：

Z6·尊龙凯时「中国区」官方网站

Step3：Bot→C2

AuthBot拼接CPU架构字符串“x86_64”和“yarn”，，，，，经由两层加密发送给C2。。。。。

Z6·尊龙凯时「中国区」官方网站

Step4：Bot→C2

AuthBot向C2发送自身历程的一些权限信息等，，，，，如是否对/usr/bin/目录有写权限，，，，，是否为root权限运行等。。。。。权限数据只经由了XOR加密。。。。。XOR解密如下：

Z6·尊龙凯时「中国区」官方网站

其中首字节为是硬编码的\x04，，，，，第二字节\x00体现是root权限运行，，，，，第三字节是硬编码的\x01，，，，，第4字节\x00体现对/usr/bin/目录有写权限。。。。。其余8字节是\x00。。。。。

至此，，，，，AuthBot上线乐成，，，，，最先期待执行C2下发的指令。。。。。现在为止，，，，，只收到过C2返回的两字节心跳数据\x76\x63，，，，，异或解密后是\x01\x00。。。。。心跳数据和控制下令数据都是只有一层XOR异或加密。。。。。

3、控制下令

现在，，，，，AuthBot只支持包括心跳在内的3类控制下令。。。。。

1、IP地点下发：当C2返回的数据长度大于10字节，，，，，将偏移1起始的数据剖析为ip:port形式的字符串并生涯，，，，，至多生涯4个。。。。。该下令现在只用来测试样本对IP的剖析是否准确，，，，，后续很可能用于剖析DDoS攻击目的或回连C2效劳器。。。。。

2、心跳：当C2返回的数据长度小于即是10字节并且首字节为\x01，，，，，则认定是心跳包，，，，，直接返回C2相同的心跳包数据。。。。。

3、删除IP地点：当C2返回的数据长度小于即是10字节并且首字节为\x00，，，，，删除对应已生涯的IP地点。。。。。

总结

总的来看，，，，，AuthBot的功效还很不完善，，，，，不包括DDoS攻击功效，，，，，也没有下载、shell等其它功效。。。。。并且关于非心跳包的另外两类控制下令，，，，，很难明确攻击者的真实意图。。。。。

不过照旧有一些亮点，，，，，好比新颖的两次加密，，，，，尤其是通过C2返回的密钥来解密自身加密资源。。。。。它的代码里也看不出常见僵尸网络对Mirai、Gafgyt代码的复用。。。。。

因此，，，，，我们以为AuthBot是全新的物联网僵尸网络，，，，，但还只是刚刚降生的初级阶段。。。。。我们会一连监控AuthBot新的演变生长。。。。。

IOC

C2：

190[.]10[.]8[.]179:8008

MD5：

7fd6f1ffceb010e4607198d1d4a527c3

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? Z6尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】