GAFGYT新变种“Demon”活跃预警

近期,绿盟威胁情报与网络安全实验室在对僵尸网络C&C服务器跟踪数据进行整理时,发现了一个在指令下发阶段极为活跃的Gafgyt变种。根据其所有者采用的特殊配置习惯,我们将这一变种称为”Demon”。

变种特点

1、删减源于Gafgyt的自传播代码,防止通过捕获样本暴露其漏洞Payload,以及尽可能规避蜜罐设备。改用租赁扫描源的方式植入目标设备,且使用不同的攻击命令字,然而其注册信息完全相同。

2、统一使用数字”666″(在西方流行文化中通常用来援引撒旦,是恶魔的象征)作为C&C服务器端口。

3、C&C服务器分布时区广泛,发动攻击的时间皆符合当地人作息规律,可排除是同一攻击者租用不同地区VPS搭建C&C服务器的情况。

技术细节

绿盟威胁情报捕获的多个”Demon”样本皆使用Gafgyt家族通用命令格式,且样本中不存在任何弱口令扫描和漏洞利用载荷。然而其被观察到使用不同的方式(各种漏洞利用及弱口令爆破)执行用于下载恶意样本的shell脚本来植入到目标系统中,因而认为该家族通过租用不同的扫描源来完成植入任务。

这类变种的上线信息如下所示:

[Shelling]-->[%s]-->[%s]-->[%s]-->[%s]-->[%s]

根据绿盟BotHunter系统记录的追踪数据,这些C&C服务器自2018年10月10日起,针对95个位于全球各地的目标(大多数是位于北美地区的VPS服务器,含少量CDN和恶意软件分析人员的博客等,另有一次针对fbi.gov的攻击)下发了共计262次DDoS攻击指令:

 

IOC

       Arm:98c2de7149a6d7596b5b72f09c6d03dd

       Mips: edd94b9b3257b03decb67315aad9e6ae

       SuperH: 0f3fc5277d3e388c67ab24ba1c4f6147

 

 

Spread the word. Share this post!

Leave Comment