重點(diǎn)關(guān)注
漏洞公告
惡意代碼
關(guān)于新型P2P僵尸網(wǎng)絡(luò)PBot的分析報(bào)告
時(shí)間:2021-06-28
本報(bào)告由國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)與北京奇虎科技有限公司(360)共同發(fā)布。
一、概述
CNCERT監(jiān)測(cè)發(fā)現(xiàn)從2020年以來P2P僵尸網(wǎng)絡(luò)異?;钴S,如Mozi、Pinkbot等P2P僵尸網(wǎng)絡(luò)家族在2020年均異?;钴S,感染規(guī)模大、追溯源頭難且難以治理,給網(wǎng)絡(luò)空間帶來較大威脅。
2021年5月31日,CNCERT和360捕獲到一個(gè)全新的使用自定義P2P協(xié)議的僵尸網(wǎng)絡(luò),其主要功能為DDoS。(當(dāng)前很多殺毒引擎將其識(shí)別為Mirai或Gafgyt家族,我們將之命名PBot)。
二、相關(guān)樣本分析
(一)僵尸網(wǎng)絡(luò)組織結(jié)構(gòu)
Pbot最獨(dú)特的地方在于它實(shí)現(xiàn)了P2P網(wǎng)絡(luò)通信,基于對(duì)Bot樣本和控制端的逆向分析,它的簡化網(wǎng)絡(luò)結(jié)構(gòu)如下所示:
事實(shí)上Pbot的功能比較簡單,執(zhí)行時(shí)首先會(huì)在Console輸出[main] bot deployedrn字樣,然后通過綁定本地端口實(shí)現(xiàn)單一實(shí)例,接著通過算法解密出BootNode、身份認(rèn)證KEY等敏感的資源信息,最后通過BootNode節(jié)點(diǎn)加入到P2P網(wǎng)絡(luò)中,等待執(zhí)行ControlNode下發(fā)的指令,主要有指令中DDoS攻擊,開啟telnet掃描傳播等。其中支持的DDoS攻擊方法如下所示:
(1)attacks_vector_game_killer:UDP DDos攻擊,連續(xù)發(fā)送768個(gè)隨機(jī)字串;
(2)attacks_vector_nfo_v6:使用特定Payload對(duì)nfo務(wù)器發(fā)起TCP DDoS攻擊;
(3)attacks_vector_plainudp:UDP DDos攻擊,連續(xù)發(fā)送511個(gè)隨機(jī)字串UDP包500次;
(4)attacks_vector_plaintcp:TCP DDoS攻擊,連續(xù)發(fā)送511個(gè)隨機(jī)字串TCP包2500次;
(5)attacks_vector_l7_ghp:HTTP DDoS攻擊,連續(xù)發(fā)送HTTP數(shù)據(jù)包500次。
(6)attacks_vector_ovh_l7: 使用特定Payload對(duì)OVH服務(wù)器發(fā)起HTTP DDoS攻擊。
BootNode,是一個(gè)超級(jí)節(jié)點(diǎn),除了與各Bot相同的p2p通信功能之外,還具有以下功能:
(1)統(tǒng)計(jì)各Peer信息(Peer會(huì)向它注冊(cè),上傳自身信息);
(2)協(xié)助各Peer間尋找對(duì)方,BootNode保存了大量的P2P Peers列表,Bot向其注冊(cè)后,可以請(qǐng)求一部分節(jié)點(diǎn)信息分享給Bot;
(3)承載樣本,惡意shell腳本的下載服務(wù)。
而ControlNode,則是管理節(jié)點(diǎn),主要功能為向節(jié)點(diǎn)發(fā)送具體的指令,如DDoS攻擊,開啟掃描等。
(二)傳播方式
該家族樣本主要通過SSH/Telnet弱口令以及一些NDay漏洞傳播。相關(guān)NDay漏洞如下:
漏洞 |
影響設(shè)備 |
MVPower DVR |
|
ZTE Router |
|
Netis Router |
(三)感染規(guī)模
通過監(jiān)測(cè)分析發(fā)現(xiàn),該僵尸網(wǎng)絡(luò)日均活躍Bot數(shù)在一千臺(tái)以上。
三、相關(guān)IOC
樣本MD5:
0e86f26659eb6a32a09e82e42ee5d720
3155dd24f5377de6f43ff06981a6bbf2
3255a45b2ebe187c429fd088508db6b0
3484b80b33ee8d53336090d91ad31a6b
769bc673d858b063265d331ed226464f
8de9de4e14117e3ce4dfa60dacd673ef
9cb73e83b48062432871539b3f625a21
d209fe7d62f517de8b1cf1a5697e67c2
e84a59bb18afff664e887744d8afebd0
下載鏈接:
http://205.185.126.254/bins/controller.x86
http://205.185.126.254/bins/exxsdee.arm7
http://205.185.126.254/bins/exxsdee.i586
http://205.185.126.254/ssh.sh
http://205.185.126.254:80/bins/crsfi.arm
http://205.185.126.254:80/bins/exxsdee.arm
http://205.185.126.254/korpze_jaws.sh
http://205.185.126.254/korpze.sh
http://205.185.126.254/sv.sh
http://205.185.126.254/korpze_jaws.sh
http://205.185.126.254///exxsdee.mpsl
http://monke.tw/armz.sh
http://monke.tw/u