DDoS - 奇安信 X 实验室

奇安信 X 实验室

DDoS

A collection of 8 posts

Mirai Nomi: A Botnet Leveraging DGA

Overview The Mirai family, as the evergreen tree of botnet, exists numerous variants, but rarely appear Mirai variants using DGA(Domain Generation Algorithm), according to our observation, the last Mirai variant using DGA appeared in 2016. in March 2024, we captured new suspicious ELF samples, which we learnt through analysis

使用DGA的僵尸网络Mirai Nomi

概述 Mirai家族作为botnet的常青树，存在众多变种，但极少出现使用DGA的Mirai变种，据我们观测，上一个使用DGA（Domain Generation Algorithm）的Mirai变种出现于2016年。2024年3月，我们捕获到了新的可疑ELF样本，通过分析得知是另一个使用DGA的Mirai变种，分析关联的历史样本，我们不仅发现了没有使用DGA的版本（2024.02），还发现了漏洞扫描器和远控样本（2024.01），这引起我们的极大兴趣。根据下载脚本中的版本信息，我们姑且将其命名为Mirai.Nomi。 Mirai.Nomi样本具有以下特点： * 魔改UPX壳（修改UPX魔术头、异或原始载荷） * 使用时间相关的DGA并加入验证机制 * 使用多个加密算法、哈希算法（AES、CHACHA20、MD5）样本分析最新ELF样本修改自Mirai LZRD变种，新增了持久化函数和域名生成函数，其他部分基本沿用原始代码。UPX壳修改魔术头为0B 3E 2A AF 解压缩每个block后，单字节异或0xD4，可通过动态dump或者重新编译UP

Smargaft Harnesses EtherHiding for Stealthy C2 Hosting

Smargaft Harnesses EtherHiding for Stealthy C2 Hosting

Background At XLab, we see a lot of botnets every day, mainly tweaks of old Mirai and Gafgyt codes. These are pretty common and usually don't grab our attention. But today, we found something different. This new botnet uses some of Gafgyt's attack styles but has been built differently from

币安智能合约正在被Smargaft僵尸网络滥用

币安智能合约正在被Smargaft僵尸网络滥用

背景在XLab的日常工作中，我们的僵尸网络监控系统每天都能检测到大量基于Mirai, Gafgyt代码魔改而来的变体的僵尸网络。这些变体已经司空见惯，无法引起我们的兴趣。然而，今天的主角是一个异类，虽然它复用了一些Gafgyt的攻击向量，但很明显程序的逻辑结构是重新设计的。除此之外其作者还有一些让人眼前一亮的创新，比如利用币安智能链（Binance Smart Chain）的合约托管命令和控制中心（C2），比如通过病毒式感染Shell脚本实现持久化等。我们在进行逆向分析时，发现一些杀毒软件将这个僵尸网络的ARM样本标记为Mirai，这是不准确的。基于这个僵尸网络使用智能合约以及Gafgyt的攻击向量，我们将它命名为Smargaft，它的主要功能是DDoS攻击，执行系统命令，提供socks5代理服务等。 Smargaft最大的亮点是使用智能合约托管C2，这种技术于2023年10月被首次披露，业内称之为EtherHiding，它充分利用区块链的公开性和不可篡改性，"链上”的C2无法被移除，是一种相当高级且少见的Bullet-Proof Hosting技法。这是我们在僵尸网络

Bigpanzi Exposed: The Hidden Cyber Threat Behind Your Set-Top Box

Bigpanzi Exposed: The Hidden Cyber Threat Behind Your Set-Top Box

Background Some time ago, we intercepted a dubious ELF sample exhibiting zero detection on VirusTotal. This sample, named pandoraspear and employing a modified UPX shell, has an MD5 signature of 9a1a6d484297a4e5d6249253f216ed69. Our analysis revealed that it hardcoded nine C2 domain names, two of which had lapsed beyond their expiration protection

笼罩在机顶盒上空的阴影：揭开隐蔽8年黑灰产团伙Bigpanzi的神秘面纱

笼罩在机顶盒上空的阴影：揭开隐蔽8年黑灰产团伙Bigpanzi的神秘面纱

背景一段时间之前，我们捕获了一个VT 0 检测，使用变形UPX加壳，名为pandoraspear，MD5为9a1a6d484297a4e5d6249253f216ed69的可疑ELF样本。在分析过程中，我们发现它硬编码了9个C2域名，其中有2个域名过期的保护期已过，于是我们注册了这2个域名用以度量botnet的规模。在我们能观测的时间内bot的巅峰日活为17万左右，绝大部分位于巴西。当这个团伙发现我们注册了他的域名之后，通过DDoS攻击我们注册的域名迫使域名下线以及修改被侵入设备hosts（通过修改机器hosts文件将特定域名指向特定IP，从而绕过DNS解析获得CC域名IP地址）等方式与我们展开了对抗，使得我们失去了大部分视野。很快我们完成了对样本的逆向分析，并实现了针对该僵尸网络的攻击指令跟踪。依托于指令跟踪，我们捕获了该僵尸网络的a.sh，pd.sh，cpcdn.sh等下载脚本，这些脚本直接或间接的扩展了我们的视野。从直接的层面来说，这些脚本直接提供了该黑产团伙额外的implants，如pcdn，ptcrack，p2p_peer等；从间接的层面来说，我们发现这些脚

Mirai.TBOT Uncovered: Over 100 Groups and 30,000+ Infected Hosts in a big IoT Botnet

Overview As we all know Mirai was first discovered in 2016 and it infects IoT devices by exploiting their weak passwords and vulnerabilities. Once the devices are infected, they become part of a botnet controlled by attackers for large-scale distributed denial-of-service attacks. Mirai botnets usually classify bots into different groups

一个新的超大规模分组的Mirai变种僵尸网络TBOT

概述众所周知Mirai于2016年首次被发现，它通过利用物联网设备的弱密码和漏洞来感染它们。一旦设备感染，它们将成为网络的一部分，由攻击者控制，用于大规模的分布式拒绝服务攻击。Mirai僵尸网络通常根据感染方式或者被感染设备不同将Bot分为不同的组，以便攻击者更有效地管理和控制庞大的僵尸网络。近期我们注意到一个Mirai僵尸网络居然拥有100多个Bot分组，这引起了我们极大的兴趣。根据该僵尸网络进行Telnet扫描时会执行/bin/busybox hostname TBOT这一命令的特点，我们姑且将其命名为Mirai.TBOT。Mirai.TBOT僵尸网络有以下几个特点： * 超多Bot分组（100+ Bot分组），意味着感染方式比较多 * 具备0day利用能力 * C2使用OpenNIC自定义域名（部分样本中有32个域名，作者并没有全部注册） * 超大规模，2023年11月4日我们注册了上面提到的32个OpenNIC域名中的3个，结合连接这3个域名的Bot和网络流量中识别出来的该僵尸网络的Bot数量，我们能看到部分Mirai.TBOT僵尸网络的Bot数量，目前其Bo