背景 2024年5月20日，当大家都在愉快地庆祝节日时，不知疲倦的XLab大网威胁感知系统于14点左右捕获了一个可疑的ELF文件，路径为/usr/bin/geomi。该文件使用变形的UPX加壳，幻数为0x30219101，从俄罗斯上传到VirusTotal，未被任何杀软引擎检测出恶意行为。当晚22点，另一个使用相同UPX幻数的geomi文件从德国上传到VT。可疑的文件路径的，变形的UPX壳，以及多国上传的情况引起了我们的关注。经过分析，我们确认这是一个使用Golang实现的僵尸网络。由于其C2使用了“ootheca”字符串，让人联想到星际争霸中的铺天盖地的虫族，我们将其命名为Zergeca。 从功能上来说，Zergeca不仅是一个典型的DDoS僵尸网络，除了支持六种不同的攻击方法外，还具备代理、扫描、自升级、持久化、文件传输、反向shell和收集设备敏感信息等功能。从网络通信来看，Zergeca也具有以下独特之处： 1. 支持多种DNS解析方式，优先使用DOH进行C2解析 2. 使用不常见的Smux库实现C2通信协议，并通过xor进行加密 在对Zergeca的基础设