概述

RedGoBot 是一个由 Go 语言编写的 DDoS Botnet 家族，最早由奇安信威胁情报中心于 2022 年 12 月初曝光。

2023 年 7 月底，我们的未知威胁监控系统监控到IP地址 185.224.128.141 疯狂暴破常见 Telnet 服务端口并传播一款 Go 语言编写的 DDoS 僵尸网络木马。经过我们分析，该家族是曾被我们曝光过的 RedGoBot 的新变种。

该家族变种样本部分功能借鉴 Mirai 的设计，比如编写专门的 ensureSingleInstance() 函数，通过监听本地端口来保证单一实例运行，还会以类似的 Killer 机制杀掉特定的进程。比起旧版本，新版样本另一个明显的变化是把所有重要字符串均用 Base64 编码，运行中实时解码使用。在传播最新的变种样本之前，RedGoBot 还短暂传播了一个中间过渡版本，样本核心功能与最新版本一致，只是内部字符串都没有用 Base64 编码，而且其中还有 Windows 版本的样本。

经过深入分析，我们把此变种命名为 RedGoBot_v2，该 Botnet家族近期传播趋势如下：

样本功能更新

字符串加密

新版本 RedGoBot 的关键字符串都存在Base64编码，运行时会在使用字符串前通过函数将字符串解码：

Init 函数

通过 Go 语言的 init 函数初始化批量解密样本 Kill 函数中所需的白名单目录或文件名字符串，与旧版本相同样本会尝试杀死"可疑竞争对手"的进程：

持久化

旧版本 RedGoBot 会创建一个恶意服务实现持久化，服务详情如下

而新版本使用了四种不同的方法实现持久化：

• 通过创建服务：

• 通过修改 bashrc 文件，在当前用户主目录的 .bashrc 文件末尾添加恶意代码：

• 通过创建 init 文件夹的 conf 文件：

• 通过利用 crontab 命令：

单例运行

通过监听端口确保单个实例，对应端口为32183：

传播方式

新版本除了保持了旧版本中类似 Gafgyt 家族的 Telnet 暴破传播机制，还加入了 SSH 暴破方法。其中 Telnet 服务针对的端口有 7 个，分别是 23/2323/80/5523/2601/2002/1025：

并为 Telnet 服务暴破准备了 219 组弱口令：

对于 SSH 服务的暴破，针对的 SSH 服务端口有 5 个，分别是 22/2222/8888/8443/443

并为 SSH 服务暴破准备了 67 组弱口令

一旦暴破 SSH 或者 Telnet 服务成功，失陷主机中将执行下面的恶意命令：

DDoS攻击

新版本 RedGoBot 中 DDoS 攻击方法依然基于 Golang Interface 实现，并且作者新包装了一个名为main_getAttack() 的攻击函数：

并且此次发现的版本相较于旧版本添加了多个DDoS攻击方法，新加入的方法如下：

总结

RedGoBot 在发现之初已经是一个较为完善的僵尸网络家族，而作者时隔半年又开始对其样本进行了改善，同时与之前类似，该作者并未急着开始大规模传播，而是在完成新版本的样本后进行了一次扩散，之后恢复平静：

下面为 RedGoBot_v2 版本的另一C2服务器地址的近期传播趋势，可以发现作者最近几天正在进行传播测试：

通过此次分析及之前我们对 RedGoBot 僵尸网络相关披露可以得出以下结论：

• 该团伙对于僵尸网络的编写及运营极为熟练；
• 该团伙除了RedGoBot外还拥有其他多个僵尸网络，包括RedSocksBot、Mirai等；
• 该团伙对Windows平台同样下发过后门木马文件，不限于攻击Linux平台散布僵尸网络样本，但 Windows 平台样本的蠕虫传播能力还是针对 Linux 平台的 Telnet 和 SSH 服务。

IOCs

RedGoBot_v2 C2:

wq[.]gy

alternatevm[.]us

194.55.224[.]36:6002

Mirai C2:

cnc.wq[.]gy

cnc.hpyq[.]cc

cnc.biggieboat[.]cc

Download URL:

hxxp://185.224.128[.]141/linux/bins.sh

hxxp://194.180.49[.]171/linux/bins.sh

MD5:

dcecb4260d05460f75efbc8411f85bec

d7025e72a344bffa7475d7145ff60142

21f6c6644eef92015f88ac1105225408

ff2b13413318142ccb8843299e946fc6

39e70806b717bfc670682bb2b5f6d4a6

3588e0aca3d154b080f46420844bb895

b9fea51c6612715d37020c28ba2d10ce

c3869061a13948549261153e4bb8e93a

ac472c260ad65cdd6babfd2ea13a1d96

c5c2d5b4d4a426ea03be2d41c2498732

886bc578a55604a99e2e9a1903b9af7a

ec5ce68f2354acd0fb538347f098cc05

7c3d7aeb50a4619628428626b85782b5

efec7a2bd92e111716580d79614cda64

31fe0e51626ca2cc7ef520c774748d7a

73a1daf7fbe4ab671d621110c4ed4b02

b79fcc89b74ce2dd12b55c3f36c0ddcf

bf2a4ca1b03dc35fcc4595ad3f03a4d2

ba9da2db798a9d0d2cb116d84ece3df2

e188aacfedf07e6ed629dcaf46eadb97

a5ce1f5b5db5e7574b30379ca26d1551

eb575f965d662a93eaf17999e869b227

c0e9817868eed90cd7a97f9147cde5d6

fbef20c6ec117784243dda663f2889ba

f309c9a475969a731578474527fadfcb

b8956fffc8b12b4effc0d528c77a5b77

75b0ca83968e353d1c823b1e77f9d187