一、前言
近年来,随着匿名货币的增长,僵尸网络攻击越来越频繁,各种二次开发的变种也越来
越多。搭建 1 个开源的僵尸网络的成本很低,通过 Youtube 搜索可以找到大量“傻瓜”式
搭建教程,甚至有申请匿名服务器的教程,可谓是“一条龙”服务。
![图片[1]-Gafgyt变种:Sakura僵尸网络溯源分析报告 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210611/1623409294_60c3428edb2f95467e2fe.png)
二、事件起因
近日,微步在线终端威胁检测与响应平台 OneEDR (以下简称 OneEDR)监测发现,
5 月 14 日后台主机告警页面出现有 7 条可疑告警信息,凭借多年安全分析经验,初步判定
为僵尸网络攻击。
![图片[2]-Gafgyt变种:Sakura僵尸网络溯源分析报告 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210611/1623409327_60c342afcbdf76ddaa0f6.png)
三、告警排查分析
3.1 告警详情分析
点击时间最早的一条告警项查看详细日志信息,在父进程信息 sshd:admin@notty(无
界面登录)中发现为可疑爆破登录,然后通过命令行工具发现执行切换目录、下载木马、执
行和删除文件等可疑命令。
![图片[3]-Gafgyt变种:Sakura僵尸网络溯源分析报告 – 作者:Threatbook-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210611/1623409379_60c342e35b1e73452dfce.png)
继续查看这台主机的其他告警信息,第二条告警信息显示文件路径异常,可以看到进程
路径已经 deleted,OneEDR 将其判定为“可能为攻击者巩固阵地的手段”。
3.2 攻击原因排查
通过登录服务器进行排查,发现该用户下无其他应用服务,继而查看 ssh 登录日志,
发现了密码爆破的历史进程,确定攻击者是通过弱密码爆破登录服务器。
然后使用$lastb 命令根据时间排查日志,疑似 13:49 分最接近入侵时间,其余的时间都
相差较大。
3.3 上机排查
使用$ps -ef 命令查看所有进程时,发现进程 x86-Sakura 和进程 x32-Sakura 在 14:00
启动。
使用$ls -l /proc/32737 命令查看进程号 32737 确认木马存放的位置。
使用$ls /tmp |grep Sakura* 命令查看/tmp 目录下列示的所有 Sakura 文件后,可以确
认该恶意行为是针对多个平台(mips、mpsl、sh4、x86、arm6、x32、arm7、ppc、i586、
m68k、ppc、arm4、arm5)的僵尸网络。
通过分析 Sakura.sh,得出 shell 会使用“||”符号来分隔 cd directory 命令。即使/tmp
目录不存在,系统会提示“No such file or directory”,也会继续执行第二个 cd directory
命令。这样既能满足在不常用目录存储恶意样本不被发现的需求,又能在当不常用的目录不
存在时使得恶意样本能正常保存下来。
四、样本分析
X86.Sakura(6d21dd452c0ce920825bca8a5910c249),以此为例进行分析。先从 main
函数开始,它首先是要读取受害机的本地时间,通过 getsockname 和 /proc/net/route 命
令获取受害机的公网 ip、内网 ip、网段、网关以及 MAC 地址等信息(以 \t00000000\t 分
割)。
木马会确认有没有 python、python3、perl 以及 telnet 程序环境,如果有其中一个的话
就会返回“22”,如果没有就返回 “Unknown Port”。
初始化链接 C2,并睡眠 5 秒,根据获取到的 ip+port+架构信息发送给 C2 确认受害机
的相关信息。
从网络数据可知,受害机向 C2 服务器(143.110.226.196:12345)发送 ip port 架构的信
息,C2 服务器会回复 “PING” 确认在线。
发送完相关信息后就一直等待 C2 发送指令,以便进行下一步行动。
经过分析得出,有 tcp、udp、vse、stdhex、std、nfodrop、ovhkill、xmas、crush、
stomp、stop 这 11 个命令;其中 atcp 是构造发送 tcp 攻击,audp 是构造发送 udp 攻击,
vse 是攻击游戏服务器的相关 payload,所有的攻击指令都是以这 3 种类型的攻击方式为基
础去发送相关的数据。
举例分析,Vseattack 可攻击运行 Valve Source Engine 的游戏服务器(使用 Steam 引
擎制造商 Valve 软件协议(A2S_INFO 数据包)在客户端和游戏服务器之间进行例行通信
的一部分)。
1)Tcp,在指定的时间间隔内将 TCP 数据段发送到指定的主机/端口组合。
2)UDP,将一些有效载荷发送到目标主机,指定端口、攻击持续时间和效载荷的最大内存。
3)astd,定义了要发送的数据(其实是一个特殊字符串,然后 i > 50 就发送,i 置 0 后累加
又再次发送)。
攻击时,bot 会发送这一段话给目标,”dayzddos.co runs you if you read this lol t
hen you tcp dumped it because it hit you and you need to patch it lololololol”。
指令集:
与以前 Gafgyt 木马的架构、函数结构进行对比,发现是其家族的变种。
在分析这个样本时,并没有发现密码爆破功能点,猜测是额外利用了一些爆破工具去针
对有弱密码的服务器 ip 进行密码爆破,当成功拿到相关的账号密码就会登陆下载木马。从
刚才的网络通讯数据得出,它会获取受害机的网络相关信息,在上线时发送给 C2 服务器,
C2 服务器会定期 “PING”确认受害机的在线情况,之后就会等待 C2 的指令去对一些网
站、服务器进行 DDos 攻击。
攻击简易流程图如下:
小小“僵尸”变种,见到微步在线 OneEDR ,还不速速显出原型。
五、C2 信息关联
通过查询域名解析后的 ip,发现指向美国的一所院校(St.Scholastica University),通过
微步在线蜜罐、X 社区等对该 ip 进行其他相关事件的关联,并未发现其他攻击事件。该域
名解析为 143.110.226.196,发现该 ip 为木马下载地址的时间是 2021 年 5 月 14 日。
通过对该 ip 拓展发现,该 ip 所在网段 B 段(143.110.0.0-143.110.255.255)均为该
大学的 ip,C2 疑为跳板机。圣舒拉卡学院的官网地址 css.edu ,解析的 ip 为 143.110.1.200。
通过样本的命名习惯在蜜罐中关联,以下为曾用过此类木马的 ip:
143.198.104.139(美国)
138.68.20.95(美国)
143.110.231.43(美国)
193.239.147.144(罗马尼亚)
45.95.169.218(匈牙利)
167.71.191.160(美国)
167.71.65.57(荷兰)
这种属于小众僵尸网络,最早出现在 2020 年 12 月,采用静态的方式去编译生成木马。
六、总结与思考
6.1 事件总结
本次事件是通过 OneEDR 在收集终端的进程、网络、文件等系统行为发现的,OneEDR
在主机上运用了行为规则、智能事件聚合等技术手段,实现对木马入侵事件的精准发现,能
发现已知或未知的威胁。通过 OneEDR 的智能关联功能,可了解到安全事件的上下文以及
主机、账号、进程等信息,通过“进程链”快速掌握事件的影响范围以及事件的概括,从而
精准溯源。
6.2 事件思考
1.近几年 5G 物联网的迅速发展,物联网设备数量呈几何增长,物联网设备已经成为主
要的攻击目标。
2.随着物联网设备的不断增多,使用 SSH 暴力破解攻击会也越来越多,这会让僵尸网络
迅速增加自己的 bot;与此同时,黑客租用的是国外匿名廉价的 V*P*S,不仅成本低,溯源难
度还较高,所以僵尸网络的发展会越来越猖獗。
3.目前的 IOT 僵尸网络以 DDoS 和挖矿的木马为主。
6.3 处置建议
1.Kill 进程 Sakura 进程;
2.删除文件 /tmp/Sakura 相关文件;
3.SSH 使用安全的密码策略,使用高强度密码,切勿使用弱口令,防止黑客暴力破解。
完整版(含IOC)报告可在“微步在线研究响应中心”公众号查看。
来源:freebuf.com 2021-06-15 10:30:58 by: Threatbook
请登录后发表评论
注册