本报告由国家互联网应急中心(CNCERT)与三六零数字安全科技集团有限公司共同发布。
一、概述
近期,国家互联网应急中心(CNCERT)与三六零数字安全科技集团有限公司共同监测发现一个新的且在互联网上快速传播的DDoS僵尸网络,通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)已超过1万、且每日会针对超过100个攻击目标发起攻击,给网络空间带来较大威胁。由于该僵尸网络最初使用的C2域名folded.in,以及使用chacha算法来加密网络流量,我们将其命名为Fodcha。
二、僵尸网络分析
(一)相关样本分析
Fodcha僵尸网络包括针对mips、mpsl、arm、x86等CPU架构的样本。在近3个月的时间中,我们捕获的Fodcha样本可以分成v1、v2 二个版本,它们的主要功能几乎是一样的,通过交叉对比不同版本,我们总结了Fodcha的以下4个主要特性,可以看出Fodcha运营者试图隐藏C2并在C2之间进行负载均衡。
本文选取最新的V2 X86 CPU架构的样本为主要的分析对象,它的基本信息如下:
Fodcha的功能非常简单,当它在被侵入设备运行时,首先会检测运行时的参数,如果不带参数,则直接退出,这是一种对沙箱抽取IOC行为的简单对抗;如果带有参数,则首先解密出C2、进程操作动作等配置信息,在Console上输出here we are,然后使用随机字串伪装进程名,最后和C2建立通信,等待执行C2下发的指令。下文将着重介绍Fodcha的解密方法和网络通信。
Fodcha使用一种多重Xor的加密方式来保护其配置信息。
图1 配置信息加密
其对应的python实现如下所示,以样本中的密文EB D3 EB C9 C2 EF F6 FD FD FC FB F1 A3 FB E9为例,解密后正是Fodcha的C2:fridgexperts.cc。
图2 解密C2信息
Fodcha通过以下代码片段和C2建立连接,其中C2域名的DNS A记录IP与PORT的对应关系为N:10(即肉鸡会从10个端口列表中随机选择端口)。
图3 随机选择端口
图4 域名、IP和端口映射关系
当成功和C2建立连接后,Bot与C2必须经过5轮交互,才能真正和C2建立通信,下图为arm架构下实际产生的网络流量。
图5 arm架构下Bot与C2交互通信
Step 1:Bot--->C2(定长5字节)
硬编码的ee 00 00通过tcp/ip checksum方法,计算得到2字节的校验值0xff11,将它填到末尾2字节处,变成ee 00 00 11 ff。
图6 Bot生成第一步上线包
Step 2:C2--->BOT(2次,第一次32字节;第二次12字节)
C2端生成chacha20算法的key与nonce,这两个值不是固定的,每次上线后接受的chacha20密钥并不相同。
图7 C2生成chacha20算法参数
Step 3:BOT--->C2(定长5字节)
硬编码的55 00 00通过checksum,计算得到校验值0xffaa,填到末尾2字节,变成55 00 00 aa ff。使用chacha20算法加密,轮数为1,得到99 9e 95 f6 32。
Step 4:C2--->BOT(定长5字节)
此时如果收到的5字节为0x55开头,说明前面的交互是对的,要求BOT开始发送分组信息。
Step 5:Bot--->C2(2次,第一次5字节,第二次分组)
第一次,硬编码的fe 00 00,第三个字节真为分组长度,变成fe 00 03,计算得到校验值0xfefe,填到尾部得到fe 00 03 fe fe。
第二次,设定分组字串“arm”,使用chacha20加密,轮数为1,得到ad ec f8。
至此BOT成功上线,开始等待执行C2下发的指令,指令码及其含义如下所示:
0x69, Heartbeat;0xEB, DDoS Attack;0xFB, Exit。
图8 C2与Bot进行心跳交互
(二)传播方式分析
通过跟踪监测,我们发现Fodcha主要通过以下NDay漏洞和Telnet/SSH弱口令传播,另外根据我们的数据分析,Fodcha的运营者还会利用Telnet爆破工具进行Telent暴力破解。
图9 C2与Bot进行心跳交互
三、僵尸网络感染规模
通过监测分析发现,2022年3月29日至4月10日Fodcha僵尸网络日上线境内肉鸡数最高达到1.5万台,累计感染肉鸡数达到6.2万。每日境内上线肉鸡数情况如下。
图10 每日上线境内肉鸡数
Fodcha僵尸网络位于境内肉鸡按省份统计,排名前三位的分别为山东省(12.9%)、辽宁省(11.8%)和浙江省(9.9%);按运营商统计,联通占59.9%,电信占39.4%,移动占0.5%。
图11 境内肉鸡按省份和运营商分布
四、僵尸网络攻击动态
通过跟踪监测发现,Fodcha僵尸网络从诞生起就一直对外发起DDoS攻击,且攻击行为非常活跃。攻击最猛烈的时候是 2022-03-01,跟踪到超过130k条指令。最近一周,日均指令超过7k,针对超过100个攻击目标。其攻击目标趋势如下:
图12 Fodcha攻击趋势
同时,我们从DNS的角度,也可以清晰的看到该家族的C2域名在 2022-03-19前后做了一次更替,对应前述样本分析部分中 v1 到 v2 的转变。
图13 Fodcha域名更换情况
五、防范建议
请广大网民强化风险意识,加强安全防范,避免不必要的经济损失,主要建议包括:1、及时修复相关系统漏洞。2、不使用弱密码或默认密码,定期更换密码。
当发现主机感染僵尸木马程序后,立即核实主机受控情况和入侵途径,并对受害主机进行清理。
六、相关IOC
样本MD5:
0e3ff1a19fcd087138ec85d5dba59715
1b637faa5e424966393928cd6df31849
208e72261e10672caa60070c770644ba
2251cf2ed00229c8804fc91868b3c1cb
2a02e6502db381fa4d4aeb356633af73
2ed0c36ebbeddb65015d01e6244a2846
2fe2deeb66e1a08ea18dab520988d9e4
37adb95cbe4875a9f072ff7f2ee4d4ae
3fc8ae41752c7715f7550dabda0eb3ba
40f53c47d360c1c773338ef5c42332f8
4635112e2dfe5068a4fe1ebb1c5c8771
525670acfd097fa0762262d9298c3b3b
54e4334baa01289fa4ee966a806ef7f1
5567bebd550f26f0a6df17b95507ca6d
5bdb128072c02f52153eaeea6899a5b1
6244e9da30a69997cf2e61d8391976d9
65dd4b23518cba77caab3e8170af8001
6788598e9c37d79fd02b7c570141ddcf
760b2c21c40e33599b0a10cf0958cfd4
792fdd3b9f0360b2bbee5864845c324c
7a6ebf1567de7e432f09f53ad14d7bc5
9413d6d7b875f071314e8acae2f7e390
954879959743a7c63784d1204efc7ed3
977b4f1a153e7943c4db6e5a3bf40345
9defda7768d2d806b06775c5768428c4
9dfa80650f974dffe2bda3ff8495b394
a996e86b511037713a1be09ee7af7490
b11d8e45f7888ce85a67f98ed7f2cd89
b1776a09d5490702c12d85ab6c6186cd
b774ad07f0384c61f96a7897e87f96c0
c99db0e8c3ecab4dd7f13f3946374720
c9cbf28561272c705c5a6b44897757ca
cbdb65e4765fbd7bcae93b393698724c
d9c240dbed6dfc584a20246e8a79bdae
e372e5ca89dbb7b5c1f9f58fe68a8fc7
ebf81131188e3454fe066380fa469d22
fe58b08ea78f3e6b1f59e5fe40447b11
下载链接:
http://139.177.195.192/bins/arm
http://139.177.195.192/bins/arm5
http://139.177.195.192/bins/arm7
http://139.177.195.192/bins/mips
http://139.177.195.192/bins/realtek.mips
http://139.177.195.192/bins/realtek.mpsl
http://139.177.195.192/blah
http://139.177.195.192/linnn
http://139.177.195.192/skidrt
http://139.177.195.192/z.sh
http://162.33.179.171/bins/arm
http://162.33.179.171/bins/arm7
http://162.33.179.171/bins/mpsl
http://162.33.179.171/bins/realtek.mips
http://162.33.179.171/bins/realtek.mpsl
http://162.33.179.171/blah
http://162.33.179.171/k.sh
http://162.33.179.171/linnn
http://162.33.179.171/z.sh
http://206.188.197.104/bins/arm7
http://206.188.197.104/bins/realtek.mips
http://206.188.197.104/skidrt
http://31.214.245.253/bins/arm
http://31.214.245.253/bins/arm7
http://31.214.245.253/bins/mips
http://31.214.245.253/bins/mpsl
http://31.214.245.253/bins/x86
http://31.214.245.253/k.sh
http://31.214.245.253/kk.sh
控制域名:
folded.in
fridgexperts.cc
声明:本文来自国家互联网应急中心CNCERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。