<menuitem id="7nz9b"></menuitem>
<del id="7nz9b"><output id="7nz9b"></output></del>

        <form id="7nz9b"></form>

          <b id="7nz9b"><ruby id="7nz9b"></ruby></b>

          <rp id="7nz9b"><strike id="7nz9b"><delect id="7nz9b"></delect></strike></rp>

            關于新型P2P僵尸網絡PBot的分析報告

            發布時間:2021-06-30

            本報告由國家互聯網應急中心(CNCERT)與北京奇虎科技有限公司(360)共同發布。

                  一、概述

                    CNCERT監測發現從2020年以來P2P僵尸網絡異?;钴S,如Mozi、Pinkbot等P2P僵尸網絡家族在2020年均異?;钴S,感染規模大、追溯源頭難且難以治理,給網絡空間帶來較大威脅。

            2021年5月31日,CNCERT和360捕獲到一個全新的使用自定義P2P協議的僵尸網絡,其主要功能為DDoS。(當前很多殺毒引擎將其識別為Mirai或Gafgyt家族,我們將之命名PBot)。

                  二、相關樣本分析

            (一)僵尸網絡組織結構

                    Pbot最獨特的地方在于它實現了P2P網絡通信,基于對Bot樣本和控制端的逆向分析,它的簡化網絡結構如下所示:


             1.jpg

             

                    事實上Pbot的功能比較簡單,執行時首先會在Console輸出[main]  bot  deployedrn字樣,然后通過綁定本地端口實現單一實例,接著通過算法解密出BootNode、身份認證KEY等敏感的資源信息,最后通過BootNode節點加入到P2P網絡中,等待執行ControlNode下發的指令,主要有指令中DDoS攻擊,開啟telnet掃描傳播等。其中支持的DDoS攻擊方法如下所示:

                2.jpg    

            (1)attacks_vector_game_killer:UDP  DDos攻擊,連續發送768個隨機字串;

            (2)attacks_vector_nfo_v6:使用特定Payload對nfo務器發起TCP  DDoS攻擊;

            (3)attacks_vector_plainudp:UDP  DDos攻擊,連續發送511個隨機字串UDP包500次;

            (4)attacks_vector_plaintcp:TCP  DDoS攻擊,連續發送511個隨機字串TCP包2500次;

            (5)attacks_vector_l7_ghp:HTTP  DDoS攻擊,連續發送HTTP數據包500次。

            (6)attacks_vector_ovh_l7:  使用特定Payload對OVH服務器發起HTTP  DDoS攻擊。

                    BootNode,是一個超級節點,除了與各Bot相同的p2p通信功能之外,還具有以下功能:

            (1)統計各Peer信息(Peer會向它注冊,上傳自身信息);

            (2)協助各Peer間尋找對方,BootNode保存了大量的P2P  Peers列表,Bot向其注冊后,可以請求一部分節點信息分享給Bot;

            (3)承載樣本,惡意shell腳本的下載服務。

            而ControlNode,則是管理節點,主要功能為向節點發送具體的指令,如DDoS攻擊,開啟掃描等。

            (二)傳播方式

                    該家族樣本主要通過SSH/Telnet弱口令以及一些NDay漏洞傳播。相關NDay漏洞如下:

             微信圖片_20210630113333.png



            (三)感染規模

                  通過監測分析發現,該僵尸網絡日均活躍Bot數在一千臺以上。

                  

             4.jpg

                  三、相關IOC

                  樣本MD5:

            0e86f26659eb6a32a09e82e42ee5d720

            3155dd24f5377de6f43ff06981a6bbf2

            3255a45b2ebe187c429fd088508db6b0

            3484b80b33ee8d53336090d91ad31a6b

            769bc673d858b063265d331ed226464f

            8de9de4e14117e3ce4dfa60dacd673ef

            9cb73e83b48062432871539b3f625a21

            d209fe7d62f517de8b1cf1a5697e67c2

            e84a59bb18afff664e887744d8afebd0

                  下載鏈接:

            http://205.185.126.254/bins/controller.x86

            http://205.185.126.254/bins/exxsdee.arm7

            http://205.185.126.254/bins/exxsdee.i586

            http://205.185.126.254/ssh.sh

            http://205.185.126.254:80/bins/crsfi.arm

            http://205.185.126.254:80/bins/exxsdee.arm

            http://205.185.126.254/korpze_jaws.sh

            http://205.185.126.254/korpze.sh

            http://205.185.126.254/sv.sh

            http://205.185.126.254/korpze_jaws.sh

            http://205.185.126.254///exxsdee.mpsl

            http://monke.tw/armz.sh

            http://monke.tw/u

            (來源:CNCERT)


            聯系電話:010-62199788
            公司地址:北京市昌平區七北路TBD云集中心(42號院)16號樓
            Copyright 2015-2020 長安通信科技有限責任公司版權所有 All Rights Reserved 京ICP備13045911號

            掃碼關注

            日韩免费一区二三区|免费视频99只有精品视频|亚洲日韩中文字幕a∨|国产三级久久三级久久

            <menuitem id="7nz9b"></menuitem>
            <del id="7nz9b"><output id="7nz9b"></output></del>

                  <form id="7nz9b"></form>

                    <b id="7nz9b"><ruby id="7nz9b"></ruby></b>

                    <rp id="7nz9b"><strike id="7nz9b"><delect id="7nz9b"></delect></strike></rp>