一、概述
近日检测到,一个兼具DDoS和挖矿功能的新型僵尸网络家族KmsdBot再次活跃。攻击者不断更换C&C基础设施并更新木马版本。与传统的类僵尸网络家族相比,KmsdBot采用了全新的架构,并采用Go编程语言开发。Go的简单、高效和良好的跨平台性大大降低了恶意代码的开发成本。同时,Go语言的原生特性也给分析师带来了极大的烦恼。
该家族于2022年9月首次引起人们的关注,当时样本功能尚不完善,攻击模块也不够成熟。它因初始加载程序称为“kmsd.exe”而得名。当年10月,KmsdBot攻击了游戏公司FiveM的服务器。该家族从版本2开始添加DDoS模块,目前已更新至版本4,DDoS攻击模块更加完善,同时对代码进行了优化,提高了程序的稳定性,并逐步修复了代码风格。
该家族在攻击目标选择上具有很强的针对性,重点关注游戏和高端汽车制造行业。它还具有用于攻击 FiveM 的定制模块。另外值得注意的是,该家族的C&C地址集中在西欧和北美,在俄罗斯的活跃度明显低于其他国家和地区。
二. 样品分析
2.1 版本变更
表2.1 KmsdBot样本的演变
2.2 受影响平台
KmsdBot 采用 Go 语言开发,通过 SSH 暴力攻击方式进行传播。最新版本已适配以下平台:
表 2.2 最新示例支持的架构
2.3 基本攻击模块
KmsdBot 最新版本首先使用 fslock 库在运行后创建排它锁,以防止访问冲突。同时在同目录下生成pid.lock文件。
图2.1 独占锁标志
然后通过curl和tftp命令从FTP服务器拉出名为“watchdogs”的SSH暴力工具并调用它进行弱密码暴力,从而传播样本。木马在调用暴力破解工具之前,会执行以下命令,增加系统文件描述符的上限,为SSH暴力破解工具的多线程扫描和暴力破解做准备。
图2.2 SSH暴力破解准备参数
从C&C服务器拉取的看门狗是一个独立的暴力破解模块,可以通过弱口令暴力尝试SSH登录,并具有telnet扫描功能。
图2.4 telnet扫描准备模
攻击者长期以来一直在维护和更新DDoS攻击模块。与早期样本相比,最新版本增加了多种基于UDP协议的洪泛攻击。最新版本的DDoS攻击方式如下:
表2.3 DDoS攻击方式
2.4 挖矿模块
KmsdBot 可以完全控制挖矿程序的工作流程,通过“main_reloadminer”、“main_startminer”和“main_updateminer”函数下载、加载和更新挖矿程序。
图2.5 新增挖矿功能模块
另外,值得注意的是,该挖矿程序使用类似于Linux守护进程的“看门狗”名称来迷惑受害者,并采用tls协议来保护通信隐私。启动挖矿过程的参数如下:
图2.6 挖矿模块启动参数
最新版本使用的钱包地址如下:
图2.7 内置加密货币钱包
2.5 定向攻击模块
与传统的类僵尸网络家族不同,KmsdBot 在后续版本中内置了针对 FiveM 的定向攻击模块。
图2.9 新版本针对FiveM的攻击模块
三.结论
KmsdBot僵尸网络家族自2022年底首次发现以来,版本更新频繁,功能不断完善。兼具挖矿和DDoS功能,以及针对性攻击模块。最近,家里又开始了新一轮的活动。绿盟安全实验室根据绿盟科技全球威胁追踪系统积累的数据,进一步梳理了该僵尸网络家族控制者所掌握的资源,发现KmsdBot背后的控制者可谓是“一门大生意”。其攻击范围覆盖Windows、Linux平台,拥有SSH爆破、挖矿等多种自研黑客工具。除了KmsdBot之外,受控的僵尸网络家族还有包括Mirai变种在内的多个僵尸网络家族。绿盟科技安全实验室将持续监控KmsdBot及其控制器。
四.IOC
哈希:
货币钱包:
43uCW7AgcgNcKj3MTBKVhy16iRqby1ithKpZyMzUdUGw1vyyqfn9Q5JU1RJ6ztS8C4AxxAKNM4Z4zARBRt2aRoQqFAKpgd6
4AK7DLTqTa7jM8mr5v2mBdRD4WojZJc8XfM8h4BEy177ChHWpgv4uEwfm3ktRwrEjx6r5EBH3eAoAKcw9x1KKCok9k5zK6d
44S7rRMq1wA1Ma9PdGkCBe52MN2bRVphfKAVVhSrSVxQXywRMFgWnB36ofhfUkKa1cBYqLh47SobKchHFVeT4TLeVAfGh2dN
43YUNypyDwXSVY2nrD9765iakoG5CzhrZMnEpDPnL8Wu5iBeg4Ekx6D1cXTDQBssDoQ3Hn6mtiggNVGSmwfAnUB28oy3fuD
45yK4gR5QCNag2X4g6ss6PUiL4s1e929b8mev4Rz3CbiTPU9NSXYHiyPL9FMi6cDVvD7EKho4atUf82s3vkVfFXNSsMqyUE
42vGrE1WDpKgue8Y9ewpi6gXupMqDqYiKV4EwM7CFZFuNdRKP3dG6rADE7DRAcoEWGY6LmgCRKAiX16wGAu3Tj4mMQ9HR5B
43YUNypyDwXSVY2nrD9765iakoG5CzhrZMnEpDPnL8Wu5iBeg4Ekx6D1cXTDQBssDoQ3Hn6mtiggNVGSmwfAnUB28oy3fuD
43uCW7AgcgNcKj3MTBKVhy16iRqby1ithKpZyMzUdUGw1vyyqfn9Q5JU1RJ6ztS8C4AxxAKNM4Z4zARBRt2aRoQqFAKpgd6
44S7rRMq1wA1Ma9PdGkCBe52MN2bRVphfKAVVhSrSVxQXywRMFgWnB36ofhfUkKa1cBYqLh47SobKchHFVeT4TLeVAfGh2dN
4AK7DLTqTa7jM8mr5v2mBdRD4WojZJc8XfM8h4BEy177ChHWpgv4uEwfm3ktRwrEjx6r5EBH3eAoAKcw9x1KKCok9k5zK6d
42WDUXX5UYtNf9DyboNRx6TgNrJD43QfgTvEjh8djtdKVoNppnN96Nz8sVp2wWJTQgW9e8XjFLkv6KpSEgwWbLXLMKn5wwg
46DBehyheMSatgdGffv8SVAEK8ts6Ur4wToVNL99Yqo6ZGnv7q4QpaxG7YnaasngPvN1rbyxYyCZAABgyXyme92wRMaVn1V
45yK4gR5QCNag2X4g6ss6PUiL4s1e929b8mev4Rz3CbiTPU9NSXYHiyPL9FMi6cDVvD7EKho4atUf82s3vkVfFXNSsMqyUE
42vGrE1WDpKgue8Y9ewpi6gXupMqDqYiKV4EwM7CFZFuNdRKP3dG6rADE7DRAcoEWGY6LmgCRKAiX16wGAu3Tj4mMQ9HR5B转载来源:https://nsfocusglobal.com/kmsdbot-a-customized-botnet-family-with-ddos-and-mining-capabilities/
图片来源网络侵权可联系删除
