近期,绿盟威胁情报与网络安全实验室在对僵尸网络C&C服务器跟踪数据进行整理时,发现了一个在指令下发阶段极为活跃的Gafgyt变种。根据其所有者采用的特殊配置习惯,我们将这一变种称为”Demon”。
变种特点
1、删减源于Gafgyt的自传播代码,防止通过捕获样本暴露其漏洞Payload,以及尽可能规避蜜罐设备。改用租赁扫描源的方式植入目标设备,且使用不同的攻击命令字,然而其注册信息完全相同。
2、统一使用数字”666″(在西方流行文化中通常用来援引撒旦,是恶魔的象征)作为C&C服务器端口。
3、C&C服务器分布时区广泛,发动攻击的时间皆符合当地人作息规律,可排除是同一攻击者租用不同地区VPS搭建C&C服务器的情况。
技术细节
绿盟威胁情报捕获的多个”Demon”样本皆使用Gafgyt家族通用命令格式,且样本中不存在任何弱口令扫描和漏洞利用载荷。然而其被观察到使用不同的方式(各种漏洞利用及弱口令爆破)执行用于下载恶意样本的shell脚本来植入到目标系统中,因而认为该家族通过租用不同的扫描源来完成植入任务。
这类变种的上线信息如下所示:
[Shelling]-->[%s]-->[%s]-->[%s]-->[%s]-->[%s]
根据绿盟BotHunter系统记录的追踪数据,这些C&C服务器自2018年10月10日起,针对95个位于全球各地的目标(大多数是位于北美地区的VPS服务器,含少量CDN和恶意软件分析人员的博客等,另有一次针对fbi.gov的攻击)下发了共计262次DDoS攻击指令:
IOC
Arm:98c2de7149a6d7596b5b72f09c6d03dd Mips: edd94b9b3257b03decb67315aad9e6ae SuperH: 0f3fc5277d3e388c67ab24ba1c4f6147