“Boat”僵尸网络家族于2022年6月由绿盟安全实验室首次发现,因其早期版本的恶意样本以“boat”文件名传播而得名。同时,由于该家族后期版本的部分恶意样本保留了符号信息,且存在大量以“ripper_*”命名的函数,因此也被称为僵尸网络家族“Ripper”。
2023年8月,绿盟科技全球威胁追踪系统检测到Boat家族加速版本升级,活跃度也明显增加。它已成长为一个不可忽视的威胁源。经过一年多的成长,Boat家族的功能趋于完善,并衍生出很多变体。Boat家族在增强隐蔽性方面的诸多尝试及其可能的独立传播模块再次引起了我们的关注。本篇文章我们就来梳理一下Boat家族这一年来的变化。
Boat的演变
1. 传播
我们对新捕获的攻击者资产进行分析,发现Boat家族的控制者存在大量名称不同的传播脚本。
“Arsenals”of Boat controller
Boat家族中这些脚本的命名似乎揭示了有关潜在攻击目标的信息,例如“android”和“ruckus”。常用的脚本名称如下:
android lboa
CCTV icam
athd faith
drilla ruckus
Waps explot.*值得注意的是,攻击者拥有大量名为“exploit.*”的传播脚本,我们推测攻击者试图利用漏洞传播恶意软件,但木马并没有内置漏洞利用模块。该家族已知的传播方法主要是弱密码暴力破解。所有的线索似乎都在暗示Boat的控制器也有一个独立的传播模块。
事实上,近年来我们发现僵尸网络木马将传播模块与木马本体分离的趋势越来越明显。独立的传播模块不仅提高了传播的可控性,还有助于隐藏攻击者资源,防止0day漏洞等重要信息被拦截。
2. 扫描
在Boat family的早期版本中,C&C会在在线交互时发出弱密码对。后期版本修改了整体设计,在扫描模块中直接使用弱密码对,比原版本更加合理。
一般情况下,僵尸网络控制者习惯于在恶意样本中嵌入弱口令对或将其存储在特殊的密码本中。这种通过C&C通信流量直接下发弱密码的方式并不多见。
Boat 扫描模块
3. 通讯协议
去年,Boat 家族一直在尝试不同的沟通方式。最常见的版本是基于TCP协议的,其次是使用UDP协议与C&C服务器通信的版本。
Boat用通讯模块
Boat 家族还尝试使用 Tor 代理进行通信,但在后续版本中被放弃。
基于Tor的Boat通信尝试
近年来,僵尸网络运营者一直在进行各种尝试来增强僵尸网络通信的伪装性。要么选择更隐形的tor代理进行通信,要么设计复杂的交互逻辑。从某种程度上来说,攻击者比防御者更愿意投入更多的资源,这一点值得我们关注。
4. 版本
Boat家族有很多变体,表明多个版本同时处于活动状态。比较活跃的版本如下:
Boat家族版本变更
截至目前,该家族的恶意样本几乎涵盖了所有常见的物联网架构,包括:
X86 Armv7
X86_64 Mpsl
Arm Mips
Arm5 Ppc
Arm6 Sh4我们注意到,Mirai家族的源代码都不同程度地融入到了Boat家族的各个版本中。攻击者在构建新的僵尸网络家族时,会使用一些已知家族的代码,这样不仅有利于代码复用,而且可以通过这种方式欺骗反病毒引擎,降低被人工分析过滤掉的概率。这种方法比在没有任何检测历史的情况下构建一个全新的家族更不引人注目。
结论
在过去的一年里,Boat家族控制者非常重视木马的隐形。他们故意添加Mirai等僵尸网络家族的签名代码,以欺骗杀毒软件引擎,降低人工分析的概率。此外,它还尝试通过Tor和Socks来实现更好的隐蔽性。Boat只控制器也可能拥有单独的传播模块,以保护其资源不被泄露。Boat家族的版本变化非常快,多个版本同时流传,活动面广,原创性高。其背后有专业的攻击团伙。绿盟科技安全研究人员将继续密切关注Boat家族及其控制者。
IOC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6e11f805db7c9acf6d1784796235aea3
8591f0616e7e0051e949e8dad960fcad
38214ee8a8add498e4fb6e497b5d24a2
190587c78ce2bcad72f0bd1198617746
a151900e43f3a9adad7a31de8f7e49e3
d18ef9ad1cbbc56046e93e388cc5d2c9
172.245.186.189
46.249.32.102
162.33.23.74
85.217.144.191
194.55.224.126
194.55.224.182
87.120.88.117
87.120.88.118
149.57.171.148转载来源:https://nsfocusglobal.com/from-ripples-to-waves-the-swift-evolution-of-the-boat-botnet/
图片来源网络侵权可联系删除
