歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

追蹤分析LiquorBot僵尸網絡

來源:本站整理 作者:佚名 時間:2020-01-31 TAG: 我要投稿


前言
自2016年起,Mirai僵尸網絡就因發動大規模網絡攻擊并摧毀各種基礎設施而聞名于眾,它也已經成為了網絡安全領域對中、大型物聯網僵尸網絡評估的一個參考因子。自從它開源之后,很多對僵尸網絡感興趣的人都會根據Mirai的源碼來構建自己的僵尸網絡,因此便出現了各式各樣的Mirai變種,除了以破壞為目的的網絡攻擊之外,現在也開始有人在利用受損設備的算力來進行挖礦活動了。
Bitdefender的研究人員近期正在追蹤分析一款名為LiquorBot的僵尸網絡,這款僵尸網絡同樣是基于Mirai源碼開發的,而且它目前也正處于積極開發階段,最近甚至還加入了挖門羅幣的功能。
有趣的是,LiquorBot采用Go語言開發,與傳統的C語言風格代碼相比,Go提供了很多其他的編碼優勢,比如說內存安全、垃圾回收、結構類型等等。
關鍵發現
1、使用Go語言對Mirai進行了重新編譯;
2、交叉編譯,涉及多種架構(ARM、ARM64、x86、x64、MIPS);
3、引入了加密貨幣挖礦功能;
4、利用SSH爆破以及路由器漏洞來實現傳播感染;
Dropper腳本
LiquorBot被交叉編譯為多種體系架構,針對了各種CPU架構,其中包含ARM、ARM64、x86、x64、MIPS。在感染過程中,Dropper腳本會下載所有的Bot Payload,這里不會根據目標設備的CPU架構來進行邏輯過濾。
Dropper腳本代碼本身并不多,主要用于從攻擊者控制的服務器獲取源碼文件。該腳本另一個比較有趣的特點是它使用了“#!/bin/sh”,這比使用“#!/bin/bash”更加穩定可靠。除此之外,由于腳本似乎沒有加載“bash”支持的任何特定功能,因此惡意軟件開發人員選擇了“sh”變種來作為系統腳本應使用的默認Shell。

攻擊者所使用的挖礦程序配置腳本似乎還針對CPU挖礦算法設置了不同的哈希率:

LiquorBot功能
跟Mirai類似,LiquorBot會對其字符串進行混淆處理,并存儲至一個映射表中。每次訪問一個條目時,都需要向每個字符串添加值“0×51”來完成解密。下圖列出的是LiquorBot解密字符串的情況:

它還從Mirai借鑒了另一個功能,即通過嘗試進行端口綁定來確保單個Bot能夠在目標設備上正常運行。Bot所使用的主機地址和端口會以參數的形式發送至映射表中的“net.Listen”(條目9),其他版本的Bot會將監聽端口設置為42007。

開始執行之后,Bot會進行重啟,然后嘗試偽裝成sshd守護進程來運行。
Bot還會以下列形式并將數據寫入/etc/resolv.conf來更新DNS解析器:

Bot的生命周期還包含一個清理階段,此時它會刪除所有植入的文件 (/tmp/.lmr,/tmp/.ldrop, /tmp/config.json)并清除Bash歷史記錄。
Bot會跟下列多個服務器進行通信:
1、CnC:Bot向服務器報告目標設備的漏洞,并從服務器接收控制命令;
2、挖礦服務器;
3、托管惡意代碼的服務器;
C&C服務器可以響應下列命令:
download
rget
exec
Shutdown
惡意軟件傳播
LiquorBot可以利用某些關鍵CVE漏洞以及其他各種命令注入和遠程代碼執行漏洞,其中包括但不限于:
CVE-2015-2051, CVE-2016-1555, CVE-2016-6277,CVE-2018-17173, CVE-2017-6884, CVE-2018-10562, CVE-2017-6077, CVE-2017-6334, CVE-2016-5679, CVE-2018-9285, CVE-2013-3568, CVE-2019-12780
入侵威脅指標IoC
14592719e2a354633131bc238f07aa0cb9cce698
1611a8445085d1687c72b7e5a7c5602cbe580c8b
1f15195ddc1e4174674fbf5d1fc95ed0a7726f7b
2784a122089c20d5c02665da1241fe02f9ac90cc
2901d4ee7f289bf0b1a863bec716d751f66a4324
2d1d294aac29fab2041949d4cb5c58d3169a31d3
31176239ab5187af5d89666f37038340b95a5a4e
31d9ca734c5f4c1787131d3a1b6b91ca60e57794
331ec23c250b86d912fa34e0e700bfcac1a7c388
3453a96414e63a813b82c6d98fa3b76c1824abd8
36382165bb53a7ed9387a02e5b9baee36fe23f64
48c863e4ad23fb946386320f3a85391b54ba50ad
49602256c8d65d0620d5abe8011a78425c7ae177
54bdfa936c9eb4ea329ca35b95e471d51daef1d5
5821ff8eb9b23035a520e1fb836e43b1ec87ffaf
61abc90c20930c7615880ac9931778b48b9e6ebd
63b556a0afcf643337310254cc7f57c729188f36
65cd6a0371bdfffd7383907ba9a816e8e2e95da5
6c7a92d5d68b68ddba10af7ca6350cfb24b2595f
6d24c472b06e6f9ac3204ca768319d2b035a210a
8364c272e0c95ed214c71dbcb48f89c468544bc8
8df16857cb914f5eded0249cfde07f1c01697db1
a69f9f5f2ac15aec393ab68277ec268c0624fe91
b40f4f13b2b144946b165a2e4284c96fbc0d4682
b9dd4d230d103b3db458d752d4917466ec1cb9b0
ba55d92e3d7dba70205597433f1a98b35e4911b8
bb07341ab6b203687845ae38cd8c17dfc947e79f
c59dd90f7cefadaa80d9c0113f8af39e4ed0c1a1

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 北京pk拾计划网 炒股配资平台 3d开机号试机号30期列表 好彩一走势图 秒速赛车是不是官方的 一般人炒股能赚钱吗 沪深300股票指数期货 山东十一选五开售时间 吉林11选五号码预测推荐 贵州11选5走势图电视版