概述
2024年9月份,绿盟科技伏影实验室全球威胁狩猎系统监测到一个自称是gorilla botnet的新型僵尸网络家族进入异常活跃状态,该家族在9月4号至9月27号期间下发30余万条攻击指令,攻击密度之高令人震惊。gorillabot本轮活跃期内的攻击目标涵盖100多个国家,中美两国为重灾区,其攻击目标涉及大学、政府网站、运营商、银行、游戏、博彩等多个单位或行业。
gorillabot支持arm,mips,x86_64,x86等多种CPU架构,该家族修改自Mirai源代码,新增了多种DDoS攻击方式,并通过KekSec团伙惯用加密算法来隐藏关键信息,同时通过多种技术手段来维持对IoT,云主机等设备的长期占有,还具备反蜜罐能力,是一种具备较高对抗意识的新兴僵尸网络家族。
一
影响范围
绿盟科技伏影实验室全球威胁狩猎系统监测数据显示,gorillabot在2024年9月份共计下发了30余万条DDoS攻击指令,单日最高达2万余条,从发起攻击的时间来看,gorillabot在24小时内均有指令下发,且指令分布相对均匀。
图1.1 攻击指令数
gorillabot的攻击目标涵盖113个国家,涉及2万余目标。从受害者地理分布上来看,国内遭受的攻击最为严重,该僵尸网络有20%的攻击针对国内,其次为美国(19%),加拿大(16%)和德国(6%)。
图1.2 攻击目标分布
gorillabot攻击了国内2000多个目标,湖北、山东、浙江和香港等地受害最为严重。
图1.3 攻击目标国内分布
从攻击方式来看,gorillabot倾向于使用UDP Flood(占比41%)发起攻击活动,其次为ACK_BYPASS-FLOOD(占比24%) 和VSE Flood(占比12%)。这种依赖UDP泛洪攻击的DDoS攻击模式在近期的僵尸网络家族中比较常见,因其在“肉鸡”数量有限情况下采用UDP无连接协议,可随意伪造源IP打出相对较高的流量,故备受青睐。实现方面,攻击者采用大量自命名DDoS攻击,但依然借鉴于已有的攻击代码。
图1.4 攻击方式
此外,监测数据显示gorillabot在近一个月内发起过多起针对关键基础设施的攻击活动,涉及40多个单位,其中国内的三大运营商分公司,多所大学及一些科技公司均有受到攻击,部分攻击数据如下:
图1.5 针对国内的攻击
二
样本分析
2.1 核心功能
该木马修改自Mirai家族,支持arm,mips,x86_64,x86等架构,上线包及指令解析模块均复用Mirai源代码,但留有签名信息“gorilla botnet is on the device ur not a cat go away”,故而我们将该家族命名为gorillabot。
图2.1 gorillabot
gorillabot内置了5个C&C,样本运行后随机选择一个连接,采用Mirai相同的上线流程与服务端建立连接,随后等待接收指令。
图2.2 C&C
相较于原版Mirai,其具备的DDoS攻击方式大幅度增加,攻击向量最大值达到19,具体整理如下:
vector | method |
0 | attack_udp_generic |
1 | attack_udp_vse |
3 | attack_tcp_syn |
4 | attack_tcp_ack |
5 | attack_tcp_stomp |
6 | attack_gre_ip |
7 | attack_gre_eth |
9 | attack_udp_plain |
10 | attack_tcp_bypass |
11 | attack_udp_bypass |
12 | attack_std |
13 | attack_udp_openvpn |
14 | attack_udp_rape |
15 | attack_wra |
16 | attack_tcp_ovh |
17 | attack_tcp_socket |
18 | attack_udp_discord |
19 | attack_udp_fivem |
2.2 加解密算法
gorillabot还使用了KekSec团伙惯用的加密算法来对关键字符串进行加密,再结合该团伙在恶意样本中留有签名以及使用lol.sh作为传播脚本名的习惯,推测该团伙或是与KekSec之间存在关联,或是借助KekSec来掩盖真实身份:
图2.3 加解密算法
2.3 持久化&&对抗蜜罐
此外,不同于常规的Mirai家族,gorillabot专门写了一个名为“yarn_init”的函数,里面集成了Hadoop Yarn RPC未授权访问漏洞的利用代码。
图2.4 漏洞利用
安装Hadoop YARN通常需要管理员权限,攻击者借助相关漏洞入侵设备后具备较高权限。在持久化方面,gorillabot木马在/etc/systemd/system/目录下创建一个名为custom.service的服务文件,该文件配置了一个自定义服务,该服务将在系统启动时自动运行。服务的主要目的是从远程地址http://pen.gorillafirewall.su/下载名为lol.sh的脚本到/tmp/目录,设置执行权限,并执行该脚本。
图2.5 持久化
gorillabot还向/etc/inittab、/etc/profile、/boot/bootcmd文件中添加命令,以在系统启动、用户登录或系统启动时自动下载并执行lol.sh脚本,创建一个名为mybinary的脚本在/etc/init.d/目录下,并设置它在系统启动时执行,执行内容同样包括下载和执行lol.sh脚本。并尝试在/etc/rc.d/rc.local或/etc/rc.conf(如果不存在)中添加链接到mybinary的软链接,以便在系统启动时执行。
图2.6 持久化
通过攻击者的描述“/proc filesystem not found. Exiting. gorilla botnet didnt like this honeypot....”推测木马还在尝试对抗蜜罐,如通过检查系统上是否存在 /proc 文件系统来判断所获取的设备是否为蜜罐。
图2.7 检查蜜罐
三
IOC
276adc6a55f13a229a5ff482e49f3a0b
63cbfc2c626da269c67506636bb1ea30
7f134c477f307652bb884cafe98b0bf2
3a3be84df2435623132efd1cd9467b17
03a59780b4c5a3c990d0031c959bf7cc
5b37be51ee3d41c07d02795a853b8577
15f6a606ab74b66e1f7e4a01b4a6b2d7
关于绿盟科技伏影实验室
研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。
绿盟威胁情报中心
绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI)是绿盟科技为落实智慧安全3.0战略,促进网络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。(绿盟威胁情报中心官网:https://nti.nsfocus.com/)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...