背景 一段时间之前，我们捕获了一个VT 0 检测，使用变形UPX加壳，名为pandoraspear，MD5为9a1a6d484297a4e5d6249253f216ed69的可疑ELF样本。在分析过程中，我们发现它硬编码了9个C2域名，其中有2个域名过期的保护期已过，于是我们注册了这2个域名用以度量botnet的规模。在我们能观测的时间内bot的巅峰日活为17万左右，绝大部分位于巴西。 当这个团伙发现我们注册了他的域名之后，通过DDoS攻击我们注册的域名迫使域名下线以及修改被侵入设备hosts（通过修改机器hosts文件将特定域名指向特定IP，从而绕过DNS解析获得CC域名IP地址）等方式与我们展开了对抗，使得我们失去了大部分视野。 很快我们完成了对样本的逆向分析，并实现了针对该僵尸网络的攻击指令跟踪。依托于指令跟踪，我们捕获了该僵尸网络的a.sh，pd.sh，cpcdn.sh等下载脚本，这些脚本直接或间接的扩展了我们的视野。从直接的层面来说，这些脚本直接提供了该黑产团伙额外的implants，如pcdn，ptcrack，p2p_peer等；从间接的层面来说，我们发现这些脚