概述
RedGoBot 是一個由 Go 語言編寫的 DDoS Botnet 家族,最早由奇安信威脅情報中心於 2022 年 12 月初曝光。
2023 年 7 月底,我們的未知威脅監控系統監控到IP地址 185.224.128.141 瘋狂暴破常見 Telnet 服務埠並傳播一款 Go 語言編寫的 DDoS 殭屍網路木馬。經過我們分析,該家族是曾被我們曝光過的 RedGoBot 的新變種。
該家族變種樣本部分功能借鑑 Mirai 的設計,比如編寫專門的 ensureSingleInstance() 函數,通過監聽本地埠來保證單一實例運行,還會以類似的 Killer 機制殺掉特定的進程。比起舊版本,新版樣本另一個明顯的變化是把所有重要字串均用 Base64 編碼,運行中實時解碼使用。在傳播最新的變種樣本之前,RedGoBot 還短暫傳播了一個中間過渡版本,樣本核心功能與最新版本一致,只是內部字串都沒有用 Base64 編碼,而且其中還有 Windows 版本的樣本。
經過深入分析,我們把此變種命名為 RedGoBot_v2,該 Botnet家族近期傳播趨勢如下:
樣本功能更新
字串加密
新版本 RedGoBot 的關鍵字串都存在Base64編碼,運行時會在使用字串前通過函數將字串解碼:
Init 函數
通過 Go 語言的 init 函數初始化批量解密樣本 Kill 函數中所需的白名單目錄或檔案名字串,與舊版本相同樣本會嘗試殺死”可疑競爭對手”的進程:
持久化
舊版本 RedGoBot 會創建一個惡意服務實現持久化,服務詳情如下
而新版本使用了四種不同的方法實現持久化:
-
通過創建服務:
-
通過修改 bashrc 檔案,在當前使用者主目錄的 .bashrc 檔案末尾添加惡意程式碼:
-
通過創建 init 檔案夾的 conf 檔案:
-
通過利用 crontab 命令:
單例運行
通過監聽埠確保單個實例,對應埠為32183:
傳播方式
新版本除了保持了舊版本中類似 Gafgyt 家族的 Telnet 暴破傳播機制,還加入了 SSH 暴破方法。其中 Telnet 服務針對的埠有 7 個,分別是 23/2323/80/5523/2601/2002/1025:
併為 Telnet 服務暴破準備了 219 組弱口令:
對於 SSH 服務的暴破,針對的 SSH 服務埠有 5 個,分別是 22/2222/8888/8443/443
併為 SSH 服務暴破準備了 67 組弱口令
一旦暴破 SSH 或者 Telnet 服務成功,失陷主機中將執行下面的惡意命令:
DDoS攻擊
新版本 RedGoBot 中 DDoS 攻擊方法依然基於 Golang Interface 實現,並且作者新包裝了一個名為main_getAttack() 的攻擊函數:
並且此次發現的版本相較於舊版本添加了多個DDoS攻擊方法,新加入的方法如下:
|
Name |
Description |
|
HttpCache_Send |
HTTP Flood (Cache) |
|
HttpHead_Send |
HTTP Flood (Head) |
|
IPIP_Send |
IP DDoS |
|
OVHBypass_Send |
OVH DDoS |
|
Ssh_Send |
SSH DDoS |
總結
RedGoBot 在發現之初已經是一個較為完善的殭屍網路家族,而作者時隔半年又開始對其樣本進行了改善,同時與之前類似,該作者並未急著開始大規模傳播,而是在完成新版本的樣本後進行了一次擴散,之後恢復平靜:
下面為 RedGoBot_v2 版本的另一C2伺服器地址的近期傳播趨勢,可以發現作者最近幾天正在進行傳播測試:
通過此次分析及之前我們對 RedGoBot 殭屍網路相關披露可以得出以下結論:
-
該團伙對於殭屍網路的編寫及運營極為熟練;
-
該團伙除了RedGoBot外還擁有其他多個殭屍網路,包括RedSocksBot、Mirai等;
-
該團伙對Windows平臺同樣下發過後門木馬檔案,不限於攻擊Linux平臺散佈殭屍網路樣本,但 Windows 平臺樣本的蠕蟲傳播能力還是針對 Linux 平臺的 Telnet 和 SSH 服務。
IOCs
RedGoBot_v2 C2:
wq.gy
alternatevm.us
194.55.224.36:6002
Mirai C2:
cnc.wq.gy
cnc.hpyq.cc
cnc.biggieboat.cc
Download URL:
hxxp://185.224.128.141/linux/bins.sh
hxxp://194.180.49.171/linux/bins.sh
MD5:
dcecb4260d05460f75efbc8411f85bec
d7025e72a344bffa7475d7145ff60142
21f6c6644eef92015f88ac1105225408
ff2b13413318142ccb8843299e946fc6
39e70806b717bfc670682bb2b5f6d4a6
3588e0aca3d154b080f46420844bb895
b9fea51c6612715d37020c28ba2d10ce
c3869061a13948549261153e4bb8e93a
ac472c260ad65cdd6babfd2ea13a1d96
c5c2d5b4d4a426ea03be2d41c2498732
886bc578a55604a99e2e9a1903b9af7a
ec5ce68f2354acd0fb538347f098cc05
7c3d7aeb50a4619628428626b85782b5
efec7a2bd92e111716580d79614cda64
31fe0e51626ca2cc7ef520c774748d7a
73a1daf7fbe4ab671d621110c4ed4b02
b79fcc89b74ce2dd12b55c3f36c0ddcf
bf2a4ca1b03dc35fcc4595ad3f03a4d2
ba9da2db798a9d0d2cb116d84ece3df2
e188aacfedf07e6ed629dcaf46eadb97
a5ce1f5b5db5e7574b30379ca26d1551
eb575f965d662a93eaf17999e869b227
c0e9817868eed90cd7a97f9147cde5d6
fbef20c6ec117784243dda663f2889ba
f309c9a475969a731578474527fadfcb
b8956fffc8b12b4effc0d528c77a5b77
75b0ca83968e353d1c823b1e77f9d187
點選閱讀原文至ALPHA 6.0
即刻助力威脅研判