Ares团伙冰山一角,揭秘SkidBot僵尸网络
2023-9-12 16:37:15 Author: 奇安信威胁情报中心(查看原文) 阅读量:12 收藏

概述

Ares 是一个来自中国的黑客团伙,该团伙于2023年初由奇安信威胁情报中心曝光,而在今年8月底我们的未知威胁监控系统发现了一个近期正在传播的僵尸网络,根据样本内置 Botname特征我们将其命名为 SkidBot。通过回溯发现该僵尸网络家族早在2021年就已经完成,中途传播过程中只经过了轻微修改迭代,最后经过分析我们将该家族其归属至 Ares 团伙。

SkidBot僵尸网络于2021年完成后多次尝试传播,波峰在2022年下半年,之后逐渐趋于平静,近期我们又发现其开始有传播的趋势:

SkidBot 分析

SkidBot 是一个类Gafgyt的僵尸网络家族,这里我们将分析该家族主要行为特征:

单例运行

通过监听端口确保单个实例,不同时期传播的样本中监听端口不同。近期最新的传播样本中对应端口为9072:

杀掉竞争对手

运行后通过读取/proc/中可执行文件的路径信息判断是否为僵尸网络进程并杀死:

在其中某个版本中,会通过内置硬编码的白名单路径进行过滤查杀:

字符串加密

在2021年的某个版本中发现其对重要字符串存在加密,在使用前利用自编写的解密函数进行解密:

但是后续版本中作者由于不明原因删除了此机制。

通信协议

SkidBot 的通信与 Gafgyt 类似,上线包格式为 "(前缀)+架构",在分析时发现了多种前缀,在最新传播的样本中前缀为 "skidlet",同时C2服务器在收到上线包后会进行回复 "HiSkid",这也是该家族命名的由来:

其中一些版本(包含最新传播样本)的样本会尝试连接360次,如果在连接C2服务器360次都失败后样本将自动退出:

指令解析部分于Gafgyt基本一致,使用空格分割字符串:

当前正在传播版本中支持的 DDoS 方法如下:

Method

Description

syn_flood

TCP SYN Flood

ack_flood

TCP ACK Flood

udp_flood

UDP Flood

vse_flood

UDP to attack game servers

关联分析

相似的skidletBot

在样本关联过程中,分析师关联到了一个与 SkidBot 上线包相似的类Gafgyt僵尸网络,分析后不把该家族与 SkidBot 合并,同时由于该家族仅在五月底昙花一现未大规模传播,因此我们在这里不做详细说明,给出该家族的yara供大家参考:

rule skidletBot{  meta:    author = "WPeace"    sample = "551a68a827c9b53484f401a5f1fb65b1,3991882a420d6341acc9d339530a046e"   strings:    $elf = "\x7FELF"    $commandStr = "killbots"    $onlinePack = "skidlet "    $killCompetitorStr_0 = "/proc"    $killCompetitorStr_1 = "/exe"    $killCompetitorStr_2 = "deleted"    $killCompetitorStr_unused = "/cmdline"   condition:    all of them}

团伙关联

分析 SkidBot 僵尸网络的相关资产,与Ares黑客团伙存在多处重合:

俄罗斯成员?

Ares黑客团伙已知除中国大陆外还有来自越南的成员,而本次的分析中我们在 SkidBot 迭代版本中发现了多种俄语上线包:

同时在监控俄乌网络战的过程中,我们发现攻击俄罗斯网络研讨会平台的C&C服务器地址 "rtjrsdtghszrdtf.ru" 同时也攻击过多个Ares团伙的基础设施。综上我们当前暂时怀疑Ares黑客团伙或存在俄罗斯成员。

IoCs

MD5:

A79E9F0B0B7079ADCBAB09632F580DC0

42AF29F875571EAAD889BDE62EB545F4

1A1F56D1AC1EAB788990B6850188B528

8AC1A3A96ACBCB8DDF5A466BD3A30065

3230A22381112A0AA6218D48D5C7DC81

534661AEFF84424B80FC274BDF4F7C5A

DC59D73A86033BB344D2A5EBE068BD89

47DA8A33D0158AD9C5B0A88E67F092EC

91F881700F7974176F56A43DF48FF9EF

C&C:

46.249.32.12:600

2.57.122.77:1023

2.57.122.77:2015

209.141.43.159:1988

107.172.249.169:56648

107.172.86.42:888

194.38.21.21:7398

185.28.39.99:7398

点击阅读原文ALPHA 6.0

即刻助力威胁研判


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247508107&idx=1&sn=0cc872071d80d756b3c31cf98b4b02a5&chksm=ea6657fcdd11deeaae68c5f107378b9dca7ab61a18ace3642ec9889c75bdf76c7fce93f58bc3&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh