RedGoBot 是一個(gè)由 Go 語(yǔ)言編寫(xiě)的 DDoS Botnet 家族�,最早由奇安信威脅情報(bào)中心于 2022 年 12 月初曝光。
2023 年 7 月底�,我們的未知威脅監(jiān)控系統(tǒng)監(jiān)控到IP地址 185.224.128.141 瘋狂暴破常見(jiàn) Telnet 服務(wù)端口并傳播一款 Go 語(yǔ)言編寫(xiě)的 DDoS 僵尸網(wǎng)絡(luò)木馬。經(jīng)過(guò)我們分析����,該家族是曾被我們曝光過(guò)的 RedGoBot 的新變種。
該家族變種樣本部分功能借鑒 Mirai 的設(shè)計(jì)����,比如編寫(xiě)專(zhuān)門(mén)的 ensureSingleInstance() 函數(shù),通過(guò)監(jiān)聽(tīng)本地端口來(lái)保證單一實(shí)例運(yùn)行�����,還會(huì)以類(lèi)似的 Killer 機(jī)制殺掉特定的進(jìn)程�����。比起舊版本���,新版樣本另一個(gè)明顯的變化是把所有重要字符串均用 Base64 編碼�����,運(yùn)行種實(shí)時(shí)解碼使用��。在傳播最新的變種樣本之前���,RedGoBot 還短暫傳播了一個(gè)中間過(guò)渡版本�����,樣本核心功能與最新版本一致�,只是內(nèi)部字符串都沒(méi)有用 Base64 編碼���,而且其中還有 Windows 版本的樣本�。
進(jìn)過(guò)深入分析�����,我們把此變種命名為 RedGoBot_v2�,該 Botnet家族近期傳播趨在增強(qiáng)。
新版本使用了四種不同的方法實(shí)現(xiàn)持久化:
單例運(yùn)行
通過(guò)監(jiān)聽(tīng)端口確保單個(gè)實(shí)例��,對(duì)應(yīng)端口為32183:
傳播方式
新版本除了保持了舊版本中類(lèi)似 Gafgyt 家族的 Telnet 暴破傳播機(jī)制�����,還加入了 SSH 暴破方法。其中 Telnet 服務(wù)針對(duì)的端口有 7 個(gè)�����,分別是 23/2323/80/5523/2601/2002/1025
并為 Telnet 服務(wù)爆破準(zhǔn)備了 219 組弱口令�����,對(duì)于 SSH 服務(wù)的暴破�,針對(duì)的 SSH 服務(wù)端口有 5 個(gè)��,分別是 22/2222/8888/8443/443��,一旦暴破 SSH 或者 Telnet 服務(wù)成功�,失陷主機(jī)中將執(zhí)行下面的惡意命令:
DDoS攻擊
新版本 RedGoBot 中 DDoS 攻擊方法依然基于 Golang Interface 實(shí)現(xiàn),并且作者新包裝了一個(gè)名為main_getAttack() 的攻擊函數(shù):
并且此次發(fā)現(xiàn)的版本相較于舊版本添加了多個(gè)DDoS攻擊方法
通過(guò)此次分析及之前我們對(duì) RedGoBot 僵尸網(wǎng)絡(luò)相關(guān)披露可以得出以下結(jié)論:
該團(tuán)伙對(duì)于僵尸網(wǎng)絡(luò)的編寫(xiě)及運(yùn)營(yíng)極為熟練���;
該團(tuán)伙除了RedGoBot外還擁有其他多個(gè)僵尸網(wǎng)絡(luò)���,包括RedSocksBot、Mirai等�����;
該團(tuán)伙對(duì)Windows平臺(tái)同樣下發(fā)過(guò)后門(mén)木馬文件,不限于攻擊Linux平臺(tái)散布僵尸網(wǎng)絡(luò)樣本���,但 Windows 平臺(tái)樣本的蠕蟲(chóng)傳播能力還是針對(duì) Linux 平臺(tái)的 Telnet 和 SSH 服務(wù)���。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
