1. 概況
2023年1月初,奇安信威脅情報中心威脅監控系統監測到一起殭屍網路活動事件,經過分析該殭屍網路屬於曾被披露過的殭屍網路家族 Rapper ,此次事件中所發現的新版樣本的結構與此前披露的樣本有較大區別,同時分析人員發現該團伙開始利用 xmrig 進行挖礦活動。
我們的威脅監控系統監測資料顯示,該殭屍網路樣本最近開始大量傳播,傳播的總體趨勢如下:
2. 樣本分析
這裡主要分析本次樣本與此前 Rapper 家族的異同,去年披露 Rapper 家族的樣本大量複用了 Mirai 源程式碼,而在本次事件中發現的樣本與 Mirai 原始碼基本結構完全不同,捨棄了舊結構轉而使用了新編寫的程式碼結構。
Rapper老版本的 Mirai 化結構:
本次發現的新版本 Rapper 樣本結構:
新版本 Rapper 樣本包含了自刪除、防止看門狗重啟設備的操作,部分惡意字串加密,同時會通過 SSH 弱口令爆破進行傳播,與 Mirai 不同,內建的弱口令在樣本中以明文形式存在,成功暴力破解的 SSH 伺服器,有效憑據會通過單獨的埠上報告給 C2 伺服器。樣本也試圖通過遠端二進位制下載程序進行自我傳播:
除此之外,樣本通過攻擊者下發命令可以實現 DDoS 攻擊,當前樣本僅支持兩種攻擊方式,分別是udpflood和tcpflood。
通過上述分析,本次所發現的 Rapper 殭屍網路新型樣本還處於開發階段,當前所包含功能較少,在分析過程中也未檢測到攻擊者下發任何攻擊指令,所以很可能還處於構建階段。
3. 挖礦活動
分析師在本次事件中發現該團伙下發了兩種 shell 腳本檔案,第一種腳本檔案通過 wget 下載新型殭屍網路樣本進行運行:
而第二種腳本檔案中除了下發本次的新型殭屍網路樣本外,還會在攻擊者資產的伺服器中下載 xmrig 進行挖礦,挖礦前腳本還會首先根據 CPU 支持的執行緒數量設置最大記憶體頁,以達到CPU資源利用最大化:
通過上述分析可以得知失陷主機除了受到殭屍網路的控制外,還進行大負荷挖礦工作,幾乎會消耗失陷主機的所有計算機資源,甚至會影響攻擊者進行DDoS攻擊時的效率,因此我們可以判斷該團伙可能並未將 DDoS 作為一項主要業務,亦或是已經控制了大量的肉雞所以並不需要單個肉雞有極高的攻擊效率。
4. IoCs
C&C:
109.206.243.207:5555
109.206.243.207:6667
MD5:
2A0DACE3CFE5115995F26768F711F011
E996BBE2EBDE333EE6C7BA78E4FB5E63
9CD7C3380A41E08B4730FA19E110AF06
9F1ACF1AF7495CC4468F420C169BF916
C2FB307AEE872DF475A7345D641D72DA
MiningPool:
pool.hashvault.pro:80
點選閱讀原文至ALPHA 6.0
即刻助力威脅研判
