鉴黑担保网

首页 > 关于鉴黑担保网 > 新闻动态 > 深度解读

破壳而出：全新物联网僵尸网络AuthBot浮出水面

宣布时间 2023-08-07

鉴黑担保网与广州大学网安学院发明了一个新的物联网僵尸网络，，，，并将其命名为AuthBot。。。。。。。本文通过对该僵尸网络举行样本手艺剖析，，，，周全先容了其执行流程、通讯协议、控制下令等细节，，，，以作为各行业及相关企业制订网络清静战略的参考。。。。。。。

2023年7月尾，，，，鉴黑担保网在加入国家重点研发妄想项目“大规模异构物联网威胁可控捕获与剖析手艺（2022YFB3104100）”的研究历程中，，，，发明了一个新的物联网僵尸网络家族。。。。。。。在VirusTotal上，，，，大部分杀毒引擎将其识别为Mirai或者Gafgyt。。。。。。。经由详细剖析，，，，确认完全没有复用Mirai、Gafgyt的任何源代码。。。。。。。

鉴于样本包括字符串AuthBot，，，，且会加密作为上线数据发送给C2，，，，我们将其命名为AuthBot。。。。。。。AuthBot设计了自界说加密算法用于加密和C2的通讯。。。。。。。现在，，，，其功效并不完善，，，，只实现了心跳等有限功效，，，，并不包括DDoS攻击等功效。。。。。。。

有理由相信，，，，我们正在见证一个全新物联网僵尸网络的“破壳而出”。。。。。。。

样本手艺剖析

现在AuthBot只支持amd64，，，，暂时没发明其它CPU架构的样本。。。。。。。AuthBot接纳UPX加壳，，，，并改动UPX幻数来对抗脱壳。。。。。。。将UPX幻数“YTS\x99”重新改为“UPX!”，，，，即可乐成脱壳。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

1、执行流程

和大大都僵尸网络差别，，，，AuthBot会首先毗连C2，，，，毗连失败退出历程。。。。。。。在和C2建设通讯之后，，，，才执行其它操作，，，，如修改自身历程名等。。。。。。。这是由于它硬编码的加密字符串需要用到C2返回的密钥来解密。。。。。。。AuthBot的C2地点直接使用二进制举行赋值，，，，而非字符串。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

在和C2效劳器建设通讯之后，，，，执行启动流程：解密字符串资源、发送CPU架构名称到C2效劳器、历程名伪装、自拷贝至/usr/bin/BoxBusy。。。。。。。

随后进入循环，，，，执行select函数，，，，吸收执行C2下发的指令。。。。。。。需要指出的是，，，，在循环函数里，，，，AuthBot会获取父历程所翻开的文件名称。。。。。。。若是所翻开的文件名称包括“/proc/”或者“socket:[”，，，，则把父历程名称加密发送给C2，，，，同时实验kill父历程。。。。。。。这是在实验检测调试器或者沙箱沙箱情形特征。。。。。。。

2、通讯协议

AuthBot和C2的通讯协议并不重大，，，，只需要4轮即可与C2建设通讯。。。。。。。AuthBot和C2的通讯数据经由两层加密，，，，外层是异或，，，，内层接纳其自己实现的数学运算方法加密，，，，详细加、解密算法的伪代码划分如下：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

以下是运行样本现实流量：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Step1：Bot→C2

AuthBot天生8到15字节的随机字符串作为XOR密钥，，，，用于后续通讯加密。。。。。。。接着异或加密字符串"AuthBot "，，，，把XOR密钥字符串和密文拼接起来，，，，并使用自界说算法加密它们，，，，发送至C2。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

以上述截图里的数据为例，，，，“a78f928fa5a799979d9daa908e8f9b28421a160d431e256f”经由内层算法解密后是“7763666375776B696F6F786462636D203616120B37181F49”。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Step2：C2→Bot

C2返回17字节加密数据，，，，经由异或和自界说算法解密后为“Accepted GoAwayMr”。。。。。。。前8字节“Accepted”批注毗连C2乐成，，，， “GoAwayMr”同样是密钥，，，，用于解密自身加密字符串。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

以上述截图里的数据为例，，，，“12ece9f2d5d3faf94704e501c5eec604c1”经由异或解密之后，，，，是“658f8f91a0a49190286b9d65a78dab73a2”。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

“658f8f91a0a49190286b9d65a78dab73a2”经由自界说算法解密后正是“Accepted GoAwayMr”。。。。。。。自界说算法解密如下：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Step3：Bot→C2

AuthBot拼接CPU架构字符串“x86_64”和“yarn”，，，，经由两层加密发送给C2。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Step4：Bot→C2

AuthBot向C2发送自身历程的一些权限信息等，，，，如是否对/usr/bin/目录有写权限，，，，是否为root权限运行等。。。。。。。权限数据只经由了XOR加密。。。。。。。XOR解密如下：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

其中首字节为是硬编码的\x04，，，，第二字节\x00体现是root权限运行，，，，第三字节是硬编码的\x01，，，，第4字节\x00体现对/usr/bin/目录有写权限。。。。。。。其余8字节是\x00。。。。。。。

至此，，，，AuthBot上线乐成，，，，最先期待执行C2下发的指令。。。。。。。现在为止，，，，只收到过C2返回的两字节心跳数据\x76\x63，，，，异或解密后是\x01\x00。。。。。。。心跳数据和控制下令数据都是只有一层XOR异或加密。。。。。。。

3、控制下令

现在，，，，AuthBot只支持包括心跳在内的3类控制下令。。。。。。。

1、IP地点下发：当C2返回的数据长度大于10字节，，，，将偏移1起始的数据剖析为ip:port形式的字符串并生涯，，，，至多生涯4个。。。。。。。该下令现在只用来测试样本对IP的剖析是否准确，，，，后续很可能用于剖析DDoS攻击目的或回连C2效劳器。。。。。。。

2、心跳：当C2返回的数据长度小于即是10字节并且首字节为\x01，，，，则认定是心跳包，，，，直接返回C2相同的心跳包数据。。。。。。。

3、删除IP地点：当C2返回的数据长度小于即是10字节并且首字节为\x00，，，，删除对应已生涯的IP地点。。。。。。。

总结

总的来看，，，，AuthBot的功效还很不完善，，，，不包括DDoS攻击功效，，，，也没有下载、shell等其它功效。。。。。。。并且关于非心跳包的另外两类控制下令，，，，很难明确攻击者的真实意图。。。。。。。

不过照旧有一些亮点，，，，好比新颖的两次加密，，，，尤其是通过C2返回的密钥来解密自身加密资源。。。。。。。它的代码里也看不出常见僵尸网络对Mirai、Gafgyt代码的复用。。。。。。。

因此，，，，我们以为AuthBot是全新的物联网僵尸网络，，，，但还只是刚刚降生的初级阶段。。。。。。。我们会一连监控AuthBot新的演变生长。。。。。。。

IOC

C2：

190[.]10[.]8[.]179:8008

MD5：

7fd6f1ffceb010e4607198d1d4a527c3

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】