通过十六进制地址安装的 ShellBot DDoS 恶意软件

AhnLab 安全紧急响应中心 (ASEC) 最近发现 ShellBot 恶意软件的分发方法发生了变化，该恶意软件被安装在管理不善的 Linux SSH 服务器上。整体流程保持不变，但威胁参与者用于安装 ShellBot 的下载 URL 已从常规 IP 地址更改为十六进制值。

•hxxp://0x2763da4e/dred

•hxxp://0x74cc54bd/static/home/dred/dred

1.过去的 URL 检测规避案例

通常，IP 地址以“点十进制表示法”格式使用，威胁行为者使用“hxxp://94.250.254[.]43/”等地址作为其 C&C、下载和网络钓鱼 URL。然而，IP地址可以用“点十进制表示法”以外的格式表示，包括十进制和十六进制表示法，并且通常与广泛使用的网络浏览器兼容。

因此，威胁行为者采用了多种 URL 技术来规避 URL 检测，并且之前有一个十进制地址的实例被用来创建网络钓鱼 PDF 恶意软件。网络钓鱼 PDF 恶意软件包含 URL“hxxp://1593507371”，以“点十进制表示法”转换为“hxxp://94.250.254[.]43/”。

图 1. 网络钓鱼 PDF 恶意软件中包含的恶意 URL

单击网络钓鱼 PDF 中的 URL 会导致网络浏览器连接到地址“hxxp://1593507371”，这会导致与连接到地址“hxxp://94.250.254[.]43/”相同的结果。威胁行为者使用此十进制 IP 地址表示法作为其 URL 来逃避恶意 URL 检测，并且在访问时，用户会被重定向到各种网络钓鱼站点。

图 2. 单击过去 PDF 中的链接时用户被重定向到的地址

2. ShellBot过往攻击案例

在扫描具有可操作端口 22 的系统后，威胁参与者会搜索 SSH 服务处于活动状态的系统，并使用常用 SSH 帐户凭据列表来发起字典攻击。如果他们成功登录，他们就能够安装各种恶意软件。

ShellBot，也称为 PerlBot，是一种用 Perl 开发的 DDoS Bot 恶意软件，其特点是使用 IRC 协议与 C&C 服务器进行通信。ShellBot 是一种古老的恶意软件，一直在稳定使用，至今仍在用于对 Linux 系统发起攻击。ASEC 在过去的博客文章[1]中介绍了 ShellBot 攻击案例，并持续检测和响应攻击源、下载和 C&C 地址。

在仍在流通的 ShellBot 恶意软件变种中，有一种称为“DDoS PBot v2.0”，在攻击中使用该变种的特定威胁参与者的一个显着特征是他们一致使用名称“dred” ” 在恶意软件安装期间。

图 3. DDoS PBot v2.0 的初始例程

表 1. 安装 ShellBot 时使用的命令和 C&C 信息 – 过去

表 2. DDoS PBot v2.0 支持的功能

3．ShellBot最新攻击案例

2023 年 9 月，已确认同一威胁参与者使用十六进制 IP 地址而不是通常的“点十进制”格式 IP 地址安装 ShellBot。以下是列表的一部分，其中包含进行这些攻击的攻击源地址以及所使用的相应 ID 和密码。

表 3. ShellBot 威胁参与者使用的帐户凭据和攻击源地址

成功登录后，威胁参与者使用以下命令安装 ShellBot。与之前的情况相比，命令本身保持不变；唯一的区别是 IP 地址使用十六进制值。

表 4. 安装 ShellBot 时使用的命令和 C&C 信息 – 最新

图4. DDoS PBot v2.0配置数据

以十六进制表示的地址“0x2763da4e”对应于“39.99.218[.]78”，“0x74cc54bd”对应于“116.204.84[.]189”。由于使用curl进行下载，并且能够像Web浏览器一样支持十六进制，因此ShellBot可以在Linux系统环境下成功下载并通过Perl执行。

图 5. 显示curl 支持十六进制IP 地址

4.结论

ShellBot 恶意软件被安装在管理不善的 Linux SSH 服务器上，最近的案例证实它使用十六进制 IP 地址来逃避基于行为的检测。如果安装了ShellBot，Linux服务器在收到威胁者的命令后可以用作DDoS机器人，对特定目标进行DDoS攻击。此外，威胁行为者可以使用各种其他后门功能来安装其他恶意软件或从受感染的服务器发起不同类型的攻击。

因此，管理员应该为自己的帐户使用难以猜测的密码，并定期更改密码，以保护Linux服务器免受暴力破解和字典攻击，并更新到最新补丁以防止漏洞攻击。他们还应该使用安全程序，例如从外部源访问的服务器的防火墙，以限制威胁行为者的访问。最后，一定要谨慎，将V3更新到最新版本，提前阻止恶意软件感染。

图 6. AhnLab TIP 的线程 IOC 页面

文件检测

– Shellbot/Perl.Generic.S1100 (2020.02.12.00)

IOC

MD5

– 8853bb0aef4a3dfe69b7393ac19ddf7f：ShellBot – 过去
– 7bc4c22b0f34ef28b69d83a23a6c88c5：ShellBot – 过去
– a92559ddace1f9fa159232c1d72096b2：ShellBot – 最近

下载 URL

– hxxp://39.107.61[.]230/dred: ShellBot (过去)
– hxxp://39.165.53[.]17:8088/iposzz/dred: ShellBot (过去)
– hxxp://39.99 .218[.]78/dred：ShellBot – 0x2763da4e（最近）
– hxxp://116.204.84[.]189/static/home/dred/dred：ShellBot – 0x74cc54bd（最近）

C&C URL

– 192.3.141[.]163:6667：ShellBot

转载来源：https://asec.ahnlab.com/en/57635/

图片来源网络侵权可联系删除