hacker-news

November 20, 2019

潜伏者:Roboto Botnet 分析报告

背景介绍 2019年8月26号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(4cd7bcd0960a69500aa80f32762d72bc),目前在VirusTotal上显示仅有2款杀毒引擎检测识别。通过详细分析,我们确定这是一款基于P2P通信的Bot程序,并对它保持关注。 2019年10月11号,我们通过Anglerfish蜜罐捕获到另一个可疑的ELF样本(4b98096736e94693e2dc5a1361e1a720),并且正是那个可疑的ELF样本的Downloader。这个Downloader样本会从2个硬编码的HTTP链接中下载Bot程序,其中一个下载地址把这个Bot样本伪装成Google的一个字体库“roboto.ttc”,所以我们将这个Botnet命名为Roboto。 我们已经持续关注了Roboto Botnet近3个月的时间,并在本文披露它的一些技术特征。 Roboto Botnet概览 目前,我们捕获到了Roboto Botnet的Downloader和Bot模块。根据它的传播方式和Bot样本特征,我们推测它还存在漏洞扫描模块和P2P控制模块。Roboto Botnet主要支持7种功能:反弹Shell,自卸载,获取进程网络信息,获取Bot信息,执行系统命令,运行指定URL中的加密文件,DDoS攻击等。同时,它还使用Curve25519,Ed25519,TEA,SHA256,HMAC-SHA256等算法来保证自身组件和P2P网络的完整性和安全性,根据目标系统创建相应的Linux自启动脚本,并伪装自身的文件和进程名来实现持久化控制。 我们认为Roboto Botnet虽然具备DDoS功能,但是它并不是以DDoS为主要目的。我们也还没有捕捉到它的DDoS攻击指令,虽然从逆向样本分析的角度上看到Bot支持7种功能,但是我们也还不清楚它的真实目的。 传播方式 2019年10月11号,我们通过Anglerfish蜜罐观察到51.38.200.230通过Webmin RCE漏洞(CVE-2019-15107)传播Roboto Downloader样本4b98096736e94693e2dc5a1361e1a720,其下载URL为http://190.114.240.194/boot,以下为漏洞利用Payload。 POST /password_change.cgi HTTP/1.1 Host: {target}:10000 User-Agent: Go-http-client/1.1 Accept: */* Referer: […]
November 20, 2019

The awaiting Roboto Botnet

Background introduction On August 26, 2019, our 360Netlab Unknown Threat Detection System highlighted a suspicious ELF file (4cd7bcd0960a69500aa80f32762d72bc) and passed along to our researchers to take […]
December 16, 2019

Devoops: Nomad with raw_exec enabled

“Nomad is a flexible container orchestration tool that enables an organization to easily deploy and manage any containerized or legacy application using a single, unified workflow. […]
December 17, 2019

Lazarus Group使用Dacls RAT攻击Linux平台

背景介绍 2019年10月25号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812)。一开始,我们以为这是在我们发现的Unknown Botnet中比较平凡的一个,并且在那时候VirusTotal上有2款杀毒引擎能够识别。当我们关联分析它的相关样本特征和IoC时,我们发现这个案例跟Lazarus Group有关,并决定深入分析它。 目前,业界也从未公开过关于Lazarus Group针对Linux平台的攻击样本和案例。通过详细的分析,我们确定这是一款功能完善,行为隐蔽并适用于Windows和Linux平台的RAT程序,并且其幕后攻击者疑似Lazarus Group。 事实上,这款远程控制软件相关样本早在2019年5月份就已经出现,目前在VirusTotal上显示被26款杀毒软件厂商识别为泛型的恶意软件,但它还是不为人所知,我们也没有找到相关分析报告。所以,我们会详细披露它的一些技术特征,并根据它的文件名和硬编码字符串特征将它命名为Dacls。 Dacls 概览 Dacls是一款新型的远程控制软件,包括Windows和Linux版本并共用C2协议,我们将它们分别命名为Win32.Dacls和Linux.Dacls。它的功能模块化,C2协议使用TLS和RC4双层加密,配置文件使用AES加密并支持C2指令动态更新。其中Win32.Dacls的插件模块是通过远程URL动态加载,而Linux版本的插件是直接编译在Bot程序里。我们已经确认在Linux.Dacls中包含6个插件模块:执行命令,文件管理,进程管理,测试网络访问,C2连接代理,网络扫描。 如何关联上 Lazarus Group ⾸先,我们通过样本80c0efb9e129f7f9b05a783df6959812中的硬编码字符串特征 c_2910.cls和k_3872.cls,在VirusTotal上找到了5个样本,我们从这些样本代码和相同的C2指令码上可以确认它们是同⼀套RAT程序,并且分别适⽤于Windows和Linux平台。 其中⼀个Win32.Dacls样本6de65fc57a4428ad7e262e980a7f6cc7,它的下载地址为https://thevagabondsatchel.com/wp-content/uploads/2019/03/wm64.avi,在VirusTotal社区⽤户@raeezabdulla留⾔中将它标记为Lazarus Group,并引⽤了⼀篇报告《CES Themed Targeting from Lazarus》。然后,我们通过这个下载地址我们关联到另⼀个NukeSped样本b578ccf307d55d3267f98349e20ecff1,它的下载地址为http://thevagabondsatchel.com/wp-content/uploads/2019/09/public.avi。在2019年10⽉份,这个NukeSped样本b578ccf307d55d3267f98349e20ecff1曾被推特⽤户@cyberwar_15标记为Lazarus Group。 另外,我们也在Google上搜到到很多Lazarus Group的分析报告和⼀些开源威胁情报数据,并指出thevagabondsatchel.com曾被Lazarus Group⽤于存放样本。 […]