万利国际官网

首页 > 关于万利国际官网 > 新闻动态 > 深度解读

破壳而出：全新物联网僵尸网络AuthBot浮出水面

宣布时间 2023-08-07

万利国际官网与广州大学网安学院发明了一个新的物联网僵尸网络，，，并将其命名为AuthBot。。。。。。。本文通过对该僵尸网络举行样本手艺剖析，，，周全先容了其执行流程、通讯协议、控制下令等细节，，，以作为各行业及相关企业制订网络清静战略的参考。。。。。。。

2023年7月尾，，，万利国际官网在加入国家重点研发妄想项目“大规模异构物联网威胁可控捕获与剖析手艺（2022YFB3104100）”的研究历程中，，，发明了一个新的物联网僵尸网络家族。。。。。。。在VirusTotal上，，，大部分杀毒引擎将其识别为Mirai或者Gafgyt。。。。。。。经由详细剖析，，，确认完全没有复用Mirai、Gafgyt的任何源代码。。。。。。。

鉴于样本包括字符串AuthBot，，，且会加密作为上线数据发送给C2，，，我们将其命名为AuthBot。。。。。。。AuthBot设计了自界说加密算法用于加密和C2的通讯。。。。。。。现在，，，其功效并不完善，，，只实现了心跳等有限功效，，，并不包括DDoS攻击等功效。。。。。。。

有理由相信，，，我们正在见证一个全新物联网僵尸网络的“破壳而出”。。。。。。。

样本手艺剖析

现在AuthBot只支持amd64，，，暂时没发明其它CPU架构的样本。。。。。。。AuthBot接纳UPX加壳，，，并改动UPX幻数来对抗脱壳。。。。。。。将UPX幻数“YTS\x99”重新改为“UPX!”，，，即可乐成脱壳。。。。。。。

万利国际官网(中国游)有限公司

1、执行流程

和大大都僵尸网络差别，，，AuthBot会首先毗连C2，，，毗连失败退出历程。。。。。。。在和C2建设通讯之后，，，才执行其它操作，，，如修改自身历程名等。。。。。。。这是由于它硬编码的加密字符串需要用到C2返回的密钥来解密。。。。。。。AuthBot的C2地点直接使用二进制举行赋值，，，而非字符串。。。。。。。

万利国际官网(中国游)有限公司

在和C2效劳器建设通讯之后，，，执行启动流程：解密字符串资源、发送CPU架构名称到C2效劳器、历程名伪装、自拷贝至/usr/bin/BoxBusy。。。。。。。

随后进入循环，，，执行select函数，，，吸收执行C2下发的指令。。。。。。。需要指出的是，，，在循环函数里，，，AuthBot会获取父历程所翻开的文件名称。。。。。。。若是所翻开的文件名称包括“/proc/”或者“socket:[”，，，则把父历程名称加密发送给C2，，，同时实验kill父历程。。。。。。。这是在实验检测调试器或者沙箱沙箱情形特征。。。。。。。

2、通讯协议

AuthBot和C2的通讯协议并不重大，，，只需要4轮即可与C2建设通讯。。。。。。。AuthBot和C2的通讯数据经由两层加密，，，外层是异或，，，内层接纳其自己实现的数学运算方法加密，，，详细加、解密算法的伪代码划分如下：

万利国际官网(中国游)有限公司

以下是运行样本现实流量：

万利国际官网(中国游)有限公司

Step1：Bot→C2

AuthBot天生8到15字节的随机字符串作为XOR密钥，，，用于后续通讯加密。。。。。。。接着异或加密字符串"AuthBot "，，，把XOR密钥字符串和密文拼接起来，，，并使用自界说算法加密它们，，，发送至C2。。。。。。。

万利国际官网(中国游)有限公司

万利国际官网(中国游)有限公司

以上述截图里的数据为例，，，“a78f928fa5a799979d9daa908e8f9b28421a160d431e256f”经由内层算法解密后是“7763666375776B696F6F786462636D203616120B37181F49”。。。。。。。

万利国际官网(中国游)有限公司

Step2：C2→Bot

C2返回17字节加密数据，，，经由异或和自界说算法解密后为“Accepted GoAwayMr”。。。。。。。前8字节“Accepted”批注毗连C2乐成，，， “GoAwayMr”同样是密钥，，，用于解密自身加密字符串。。。。。。。

万利国际官网(中国游)有限公司

以上述截图里的数据为例，，，“12ece9f2d5d3faf94704e501c5eec604c1”经由异或解密之后，，，是“658f8f91a0a49190286b9d65a78dab73a2”。。。。。。。

万利国际官网(中国游)有限公司

“658f8f91a0a49190286b9d65a78dab73a2”经由自界说算法解密后正是“Accepted GoAwayMr”。。。。。。。自界说算法解密如下：

万利国际官网(中国游)有限公司

Step3：Bot→C2

AuthBot拼接CPU架构字符串“x86_64”和“yarn”，，，经由两层加密发送给C2。。。。。。。

万利国际官网(中国游)有限公司

Step4：Bot→C2

AuthBot向C2发送自身历程的一些权限信息等，，，如是否对/usr/bin/目录有写权限，，，是否为root权限运行等。。。。。。。权限数据只经由了XOR加密。。。。。。。XOR解密如下：

万利国际官网(中国游)有限公司

其中首字节为是硬编码的\x04，，，第二字节\x00体现是root权限运行，，，第三字节是硬编码的\x01，，，第4字节\x00体现对/usr/bin/目录有写权限。。。。。。。其余8字节是\x00。。。。。。。

至此，，，AuthBot上线乐成，，，最先期待执行C2下发的指令。。。。。。。现在为止，，，只收到过C2返回的两字节心跳数据\x76\x63，，，异或解密后是\x01\x00。。。。。。。心跳数据和控制下令数据都是只有一层XOR异或加密。。。。。。。

3、控制下令

现在，，，AuthBot只支持包括心跳在内的3类控制下令。。。。。。。

1、IP地点下发：当C2返回的数据长度大于10字节，，，将偏移1起始的数据剖析为ip:port形式的字符串并生涯，，，至多生涯4个。。。。。。。该下令现在只用来测试样本对IP的剖析是否准确，，，后续很可能用于剖析DDoS攻击目的或回连C2效劳器。。。。。。。

2、心跳：当C2返回的数据长度小于即是10字节并且首字节为\x01，，，则认定是心跳包，，，直接返回C2相同的心跳包数据。。。。。。。

3、删除IP地点：当C2返回的数据长度小于即是10字节并且首字节为\x00，，，删除对应已生涯的IP地点。。。。。。。

总结

总的来看，，，AuthBot的功效还很不完善，，，不包括DDoS攻击功效，，，也没有下载、shell等其它功效。。。。。。。并且关于非心跳包的另外两类控制下令，，，很难明确攻击者的真实意图。。。。。。。

不过照旧有一些亮点，，，好比新颖的两次加密，，，尤其是通过C2返回的密钥来解密自身加密资源。。。。。。。它的代码里也看不出常见僵尸网络对Mirai、Gafgyt代码的复用。。。。。。。

因此，，，我们以为AuthBot是全新的物联网僵尸网络，，，但还只是刚刚降生的初级阶段。。。。。。。我们会一连监控AuthBot新的演变生长。。。。。。。

IOC

C2：

190[.]10[.]8[.]179:8008

MD5：

7fd6f1ffceb010e4607198d1d4a527c3

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 万利国际官网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】