Gafgyt变种:Sakura僵尸网络溯源分析报告 – 作者:Threatbook

一、前言

近年来,随着匿名货币的增长,僵尸网络攻击越来越频繁,各种二次开发的变种也越来
越多。搭建 1 个开源的僵尸网络的成本很低,通过 Youtube 搜索可以找到大量“傻瓜”式
搭建教程,甚至有申请匿名服务器的教程,可谓是“一条龙”服务。

图片[1]-Gafgyt变种:Sakura僵尸网络溯源分析报告 – 作者:Threatbook-安全小百科

二、事件起因

近日,微步在线终端威胁检测与响应平台 OneEDR (以下简称 OneEDR)监测发现,
5 月 14 日后台主机告警页面出现有 7 条可疑告警信息,凭借多年安全分析经验,初步判定
为僵尸网络攻击。

图片[2]-Gafgyt变种:Sakura僵尸网络溯源分析报告 – 作者:Threatbook-安全小百科

三、告警排查分析

3.1 告警详情分析

点击时间最早的一条告警项查看详细日志信息,在父进程信息 sshd:admin@notty(无
界面登录)中发现为可疑爆破登录,然后通过命令行工具发现执行切换目录、下载木马、执
行和删除文件等可疑命令。

图片[3]-Gafgyt变种:Sakura僵尸网络溯源分析报告 – 作者:Threatbook-安全小百科继续查看这台主机的其他告警信息,第二条告警信息显示文件路径异常,可以看到进程
路径已经 deleted,OneEDR 将其判定为“可能为攻击者巩固阵地的手段”。

1623409436_60c3431c7ec947dd160fe.png!small
3.2 攻击原因排查

通过登录服务器进行排查,发现该用户下无其他应用服务,继而查看 ssh 登录日志,
发现了密码爆破的历史进程,确定攻击者是通过弱密码爆破登录服务器。

然后使用$lastb 命令根据时间排查日志,疑似 13:49 分最接近入侵时间,其余的时间都
相差较大。

1623410128_60c345d0d3a99d74a918e.png!small?1623410129376
3.3 上机排查

使用$ps -ef 命令查看所有进程时,发现进程 x86-Sakura 和进程 x32-Sakura 在 14:00
启动。

1623410148_60c345e482b079b41596c.png!small?1623410149023
使用$ls -l /proc/32737 命令查看进程号 32737 确认木马存放的位置。

1623410195_60c3461325df06f2c215d.png!small?1623410195942
使用$ls /tmp |grep Sakura* 命令查看/tmp 目录下列示的所有 Sakura 文件后,可以确
认该恶意行为是针对多个平台(mips、mpsl、sh4、x86、arm6、x32、arm7、ppc、i586、
m68k、ppc、arm4、arm5)的僵尸网络。

1623410202_60c3461a845953b7a856f.png!small?1623410202934
通过分析 Sakura.sh,得出 shell 会使用“||”符号来分隔 cd directory 命令。即使/tmp
目录不存在,系统会提示“No such file or directory”,也会继续执行第二个 cd directory
命令。这样既能满足在不常用目录存储恶意样本不被发现的需求,又能在当不常用的目录不
存在时使得恶意样本能正常保存下来。

1623410209_60c34621085450debfa8d.png!small?1623410209543

四、样本分析

X86.Sakura(6d21dd452c0ce920825bca8a5910c249),以此为例进行分析。先从 main
函数开始,它首先是要读取受害机的本地时间,通过 getsockname 和 /proc/net/route 命
令获取受害机的公网 ip、内网 ip、网段、网关以及 MAC 地址等信息(以 \t00000000\t 分
割)。

1623410232_60c34638d885a97629aa3.png!small?1623410233403

1623410238_60c3463e9e6bdbfdbadaa.png!small?1623410239182木马会确认有没有 python、python3、perl 以及 telnet 程序环境,如果有其中一个的话
就会返回“22”,如果没有就返回 “Unknown Port”。

1623723243_60c80ceb23c54ef2d2408.png!small?1623723248128
初始化链接 C2,并睡眠 5 秒,根据获取到的 ip+port+架构信息发送给 C2 确认受害机
的相关信息。

1623723321_60c80d3972fdd84edb147.png!small?16237233265671623723325_60c80d3d1cef0f97942ad.png!small?1623723330301
从网络数据可知,受害机向 C2 服务器(143.110.226.196:12345)发送 ip port 架构的信
息,C2 服务器会回复 “PING” 确认在线。

1623723347_60c80d5300e536c45aadb.png!small?1623723352115
发送完相关信息后就一直等待 C2 发送指令,以便进行下一步行动。

1623723355_60c80d5b83777ca876ec3.png!small?1623723360565
经过分析得出,有 tcp、udp、vse、stdhex、std、nfodrop、ovhkill、xmas、crush、
stomp、stop 这 11 个命令;其中 atcp 是构造发送 tcp 攻击,audp 是构造发送 udp 攻击,
vse 是攻击游戏服务器的相关 payload,所有的攻击指令都是以这 3 种类型的攻击方式为基
础去发送相关的数据。
举例分析,Vseattack 可攻击运行 Valve Source Engine 的游戏服务器(使用 Steam 引
擎制造商 Valve 软件协议(A2S_INFO 数据包)在客户端和游戏服务器之间进行例行通信
的一部分)。

1623723365_60c80d65eba36ee5817e9.png!small?1623723370933
1)Tcp,在指定的时间间隔内将 TCP 数据段发送到指定的主机/端口组合。

1623723376_60c80d700a3b3032f75a0.png!small?1623723381251
2)UDP,将一些有效载荷发送到目标主机,指定端口、攻击持续时间和效载荷的最大内存。

1623723384_60c80d7859034b8f9554e.png!small?1623723389376
3)astd,定义了要发送的数据(其实是一个特殊字符串,然后 i > 50 就发送,i 置 0 后累加
又再次发送)。1623723390_60c80d7e883a1514816dc.png!small?16237233958111623723396_60c80d84588729c18bdc6.png!small?1623723401731
攻击时,bot 会发送这一段话给目标,”dayzddos.co runs you if you read this lol t
hen you tcp dumped it because it hit you and you need to patch it lololololol”。

1623723422_60c80d9ead1da86ee4d40.png!small?1623723427778
指令集:

1623723433_60c80da9d2dad43b86605.png!small?1623723438913
与以前 Gafgyt 木马的架构、函数结构进行对比,发现是其家族的变种。

1623723446_60c80db6615698c565512.png!small?16237234515041623723451_60c80dbb521b0e7bd8c69.png!small?1623723456337
在分析这个样本时,并没有发现密码爆破功能点,猜测是额外利用了一些爆破工具去针
对有弱密码的服务器 ip 进行密码爆破,当成功拿到相关的账号密码就会登陆下载木马。从
刚才的网络通讯数据得出,它会获取受害机的网络相关信息,在上线时发送给 C2 服务器,
C2 服务器会定期 “PING”确认受害机的在线情况,之后就会等待 C2 的指令去对一些网
站、服务器进行 DDos 攻击。

攻击简易流程图如下:

1623723464_60c80dc83e77cd0a4ec38.png!small?1623723469333
小小“僵尸”变种,见到微步在线 OneEDR ,还不速速显出原型。

1623723475_60c80dd347f85818f83a4.png!small

五、C2 信息关联

通过查询域名解析后的 ip,发现指向美国的一所院校(St.Scholastica University),通过
微步在线蜜罐、X 社区等对该 ip 进行其他相关事件的关联,并未发现其他攻击事件。该域
名解析为 143.110.226.196,发现该 ip 为木马下载地址的时间是 2021 年 5 月 14 日。

1623723506_60c80df22306fcfa537e8.png!small?1623723511225

1623723513_60c80df94982d62c54536.png!small?1623723518300

1623723519_60c80dffc682dfac7e694.png!small?1623723524852
通过对该 ip 拓展发现,该 ip 所在网段 B 段(143.110.0.0-143.110.255.255)均为该
大学的 ip,C2 疑为跳板机。圣舒拉卡学院的官网地址 css.edu ,解析的 ip 为 143.110.1.200。

1623723530_60c80e0a0c3ec6553e8c3.png!small?1623723535171

1623723536_60c80e10ce19c23cb4d04.png!small?1623723542028
通过样本的命名习惯在蜜罐中关联,以下为曾用过此类木马的 ip:
143.198.104.139(美国)
138.68.20.95(美国)
143.110.231.43(美国)
193.239.147.144(罗马尼亚)
45.95.169.218(匈牙利)
167.71.191.160(美国)
167.71.65.57(荷兰)

1623723546_60c80e1ac8d4618303a43.png!small?1623723551902
这种属于小众僵尸网络,最早出现在 2020 年 12 月,采用静态的方式去编译生成木马。

1623723567_60c80e2fb67ecc53b1241.png!small?1623723572789

1623723573_60c80e35a5ddc9d98497d.png!small?1623723578716

六、总结与思考

6.1 事件总结

本次事件是通过 OneEDR 在收集终端的进程、网络、文件等系统行为发现的,OneEDR
在主机上运用了行为规则、智能事件聚合等技术手段,实现对木马入侵事件的精准发现,能
发现已知或未知的威胁。通过 OneEDR 的智能关联功能,可了解到安全事件的上下文以及
主机、账号、进程等信息,通过“进程链”快速掌握事件的影响范围以及事件的概括,从而
精准溯源。

6.2 事件思考

1.近几年 5G 物联网的迅速发展,物联网设备数量呈几何增长,物联网设备已经成为主
要的攻击目标。

2.随着物联网设备的不断增多,使用 SSH 暴力破解攻击会也越来越多,这会让僵尸网络
迅速增加自己的 bot;与此同时,黑客租用的是国外匿名廉价的 V*P*S,不仅成本低,溯源难
度还较高,所以僵尸网络的发展会越来越猖獗。

3.目前的 IOT 僵尸网络以 DDoS 和挖矿的木马为主。

6.3 处置建议

1.Kill 进程 Sakura 进程;

2.删除文件 /tmp/Sakura 相关文件;

3.SSH 使用安全的密码策略,使用高强度密码,切勿使用弱口令,防止黑客暴力破解。

完整版(含IOC)报告可在“微步在线研究响应中心”公众号查看。

来源:freebuf.com 2021-06-15 10:30:58 by: Threatbook

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论