Ares團伙冰山一角，揭秘SkidBot殭屍網路

概述

Ares 是一個來自中國的駭客團伙，該團伙於2023年初由奇安信威脅情報中心曝光，而在今年8月底我們的未知威脅監控系統發現了一個近期正在傳播的殭屍網路，根據樣本內建 Botname特徵我們將其命名為 SkidBot。通過回溯發現該殭屍網路家族早在2021年就已經完成，中途傳播過程中只經過了輕微修改迭代，最後經過分析我們將該家族其歸屬至 Ares 團伙。

SkidBot殭屍網路於2021年完成後多次嘗試傳播，波峰在2022年下半年，之後逐漸趨於平靜，近期我們又發現其開始有傳播的趨勢：

SkidBot 分析

SkidBot 是一個類Gafgyt的殭屍網路家族，這裡我們將分析該家族主要行為特徵：

單例運行

通過監聽埠確保單個實例，不同時期傳播的樣本中監聽埠不同。近期最新的傳播樣本中對應埠為9072：

殺掉競爭對手

運行後通過讀取/proc/中可執行檔案的路徑資訊判斷是否為殭屍網路進程並殺死：

在其中某個版本中，會通過內建硬編碼的白名單路徑進行過濾查殺：

字串加密

在2021年的某個版本中發現其對重要字串存在加密，在使用前利用自編寫的解密函數進行解密：

但是後續版本中作者由於不明原因刪除了此機制。

通訊協議

SkidBot 的通訊與 Gafgyt 類似，上線包格式為 “(前綴)+架構”，在分析時發現了多種前綴，在最新傳播的樣本中前綴為 “skidlet”，同時C2伺服器在收到上線包後會進行回覆 “HiSkid”，這也是該家族命名的由來：

其中一些版本（包含最新傳播樣本）的樣本會嘗試連接360次，如果在連接C2伺服器360次都失敗後樣本將自動退出：

指令解析部分於Gafgyt基本一致，使用空格分割字串：

當前正在傳播版本中支持的 DDoS 方法如下：

關聯分析

相似的skidletBot

在樣本關聯過程中，分析師關聯到了一個與 SkidBot 上線包相似的類Gafgyt殭屍網路，分析後不把該家族與 SkidBot 合併，同時由於該家族僅在五月底曇花一現未大規模傳播，因此我們在這裡不做詳細說明，給出該家族的yara供大家參考：

rule skidletBot{meta:author = "WPeace"sample = "551a68a827c9b53484f401a5f1fb65b1，3991882a420d6341acc9d339530a046e"strings:$elf = "x7FELF"$commandStr = "killbots"$onlinePack = "skidlet "$killCompetitorStr_0 = "/proc"$killCompetitorStr_1 = "/exe"$killCompetitorStr_2 = "deleted"$killCompetitorStr_unused = "/cmdline"condition:all of them}

團伙關聯

分析 SkidBot 殭屍網路的相關資產，與Ares駭客團伙存在多處重合：

俄羅斯成員？

Ares駭客團伙已知除中國外還有來自越南的成員，而本次的分析中我們在 SkidBot 迭代版本中發現了多種俄語上線包：

同時在監控俄烏網路戰的過程中，我們發現攻擊俄羅斯網路研討會平臺的C&C伺服器地址 “rtjrsdtghszrdtf.ru” 同時也攻擊過多個Ares團伙的基礎設施。綜上我們當前暫時懷疑Ares駭客團伙或存在俄羅斯成員。

IoCs

MD5:

A79E9F0B0B7079ADCBAB09632F580DC0

42AF29F875571EAAD889BDE62EB545F4

1A1F56D1AC1EAB788990B6850188B528

8AC1A3A96ACBCB8DDF5A466BD3A30065

3230A22381112A0AA6218D48D5C7DC81

534661AEFF84424B80FC274BDF4F7C5A

DC59D73A86033BB344D2A5EBE068BD89

47DA8A33D0158AD9C5B0A88E67F092EC

91F881700F7974176F56A43DF48FF9EF

C&C:

46.249.32.12:600

2.57.122.77:1023

2.57.122.77:2015

209.141.43.159:1988

107.172.249.169:56648

107.172.86.42:888

194.38.21.21:7398

185.28.39.99:7398

點選閱讀原文至ALPHA 6.0

即刻助力威脅研判