国家互联网应急中心-ag亚娱官方网站入口

      本报告由国家互联网应急中心（cncert）与北京奇虎科技有限公司（360）共同发布。

      一、概述

        cncert监测发现从2020年以来p2p僵尸网络异常活跃，如mozi、pinkbot等p2p僵尸网络家族在2020年均异常活跃，感染规模大、追溯源头难且难以治理，给网络空间带来较大威胁。

2021年5月31日，cncert和360捕获到一个全新的使用自定义p2p协议的僵尸网络，其主要功能为ddos。（当前很多杀毒引擎将其识别为mirai或gafgyt家族，我们将之命名pbot）。

      二、相关样本分析

（一）僵尸网络组织结构

        pbot最独特的地方在于它实现了p2p网络通信，基于对bot样本和控制端的逆向分析，它的简化网络结构如下所示：

 

 

        事实上pbot的功能比较简单，执行时首先会在console输出[main]  bot  deployedrn字样，然后通过绑定本地端口实现单一实例，接着通过算法解密出bootnode、身份认证key等敏感的资源信息，最后通过bootnode节点加入到p2p网络中，等待执行controlnode下发的指令，主要有指令中ddos攻击，开启telnet扫描传播等。其中支持的ddos攻击方法如下所示：

       

（1）attacks_vector_game_killer：udp  ddos攻击，连续发送768个随机字串；

（2）attacks_vector_nfo_v6：使用特定payload对nfo务器发起tcp  ddos攻击；

（3）attacks_vector_plainudp：udp  ddos攻击，连续发送511个随机字串udp包500次；

（4）attacks_vector_plaintcp：tcp  ddos攻击，连续发送511个随机字串tcp包2500次；

（5）attacks_vector_l7_ghp：http  ddos攻击，连续发送http数据包500次。

（6）attacks_vector_ovh_l7：  使用特定payload对ovh服务器发起http  ddos攻击。

        bootnode，是一个超级节点，除了与各bot相同的p2p通信功能之外，还具有以下功能：

（1）统计各peer信息（peer会向它注册，上传自身信息）；

（2）协助各peer间寻找对方，bootnode保存了大量的p2p  peers列表，bot向其注册后，可以请求一部分节点信息分享给bot；

（3）承载样本，恶意shell脚本的下载服务。

而controlnode，则是管理节点，主要功能为向节点发送具体的指令，如ddos攻击，开启扫描等。

（二）传播方式

        该家族样本主要通过ssh/telnet弱口令以及一些nday漏洞传播。相关nday漏洞如下：

 

 

（三）感染规模

      通过监测分析发现，该僵尸网络日均活跃bot数在一千台以上。

     

 

      三、相关ioc

      样本md5：

0e86f26659eb6a32a09e82e42ee5d720

3155dd24f5377de6f43ff06981a6bbf2

3255a45b2ebe187c429fd088508db6b0

3484b80b33ee8d53336090d91ad31a6b

769bc673d858b063265d331ed226464f

8de9de4e14117e3ce4dfa60dacd673ef

9cb73e83b48062432871539b3f625a21

d209fe7d62f517de8b1cf1a5697e67c2

e84a59bb18afff664e887744d8afebd0

      下载链接：

http://205.185.126.254/bins/controller.x86

http://205.185.126.254/bins/exxsdee.arm7

http://205.185.126.254/bins/exxsdee.i586

http://205.185.126.254/ssh.sh

http://205.185.126.254:80/bins/crsfi.arm

http://205.185.126.254:80/bins/exxsdee.arm

http://205.185.126.254/korpze_jaws.sh

http://205.185.126.254/korpze.sh

http://205.185.126.254/sv.sh

http://205.185.126.254/korpze_jaws.sh

http://205.185.126.254///exxsdee.mpsl

http://monke.tw/armz.sh

http://monke.tw/u