背景 在XLab的日常工作中，我们的僵尸网络监控系统每天都能检测到大量基于Mirai, Gafgyt代码魔改而来的变体的僵尸网络。这些变体已经司空见惯，无法引起我们的兴趣。然而，今天的主角是一个异类，虽然它复用了一些Gafgyt的攻击向量，但很明显程序的逻辑结构是重新设计的。除此之外其作者还有一些让人眼前一亮的创新，比如利用币安智能链（Binance Smart Chain）的合约托管命令和控制中心（C2），比如通过病毒式感染Shell脚本实现持久化等。我们在进行逆向分析时，发现一些杀毒软件将这个僵尸网络的ARM样本标记为Mirai，这是不准确的。基于这个僵尸网络使用智能合约以及Gafgyt的攻击向量，我们将它命名为Smargaft，它的主要功能是DDoS攻击，执行系统命令，提供socks5代理服务等。 Smargaft最大的亮点是使用智能合约托管C2，这种技术于2023年10月被首次披露，业内称之为EtherHiding，它充分利用区块链的公开性和不可篡改性，"链上”的C2无法被移除，是一种相当高级且少见的Bullet-Proof Hosting技法。这是我们在僵尸网络