江苏龙网

  1. 首页 > 人文 > >

黑客与极客GoBrut僵尸网络新变种


_本文原题:GoBrut僵尸网络新变种
使用 Go 编写的多平台 GoBrut 僵尸网络最近部署了新变种进行传播 , 同时正对数以百万计的 WordPress 网站进行爆破 。
2019 年 3 月 GoBrut 僵尸网络被发现 , 在此前的分析文章中分析了该僵尸网络使用 Go 语言编写的 Windows 版本 。 Go 语言的使用使得代码具有极高的可移植性 , 攻击者可以只编写一次代码然后在各种不同的操作系统中编译运行 。 所以最近也发现了针对 Linux 平台的新版本部署 。
这已经不是第一次在野发现 GoBurt 的 Linux 样本 。 事实上 , 2019 年 4 月时有其他研究人员发现 2.24 版本的 GoBurt 已经开始存在 Linux 版本 。 本次我们发现的是新部署的新版本 3.06 , 同样也是针对 Linux 平台的 。
技术分析
黑客与极客GoBrut僵尸网络新变种
本文插图
在我们的情报监控运营时发现的一个失陷网站 , 其中包含大量的可疑文件 , 这些文件实际上是同一个文件的副本 。
字段 值 哈希 0f4755f65c495d3711bf22271f85f1ee86da8b7a487e770f769af56e189be48c 威胁 GoBrut 简要描述 GoBrut Linux 版本 3.06 ssdeep 98304:EE1b80T1Mv8SzjLZ/YJG9MMa2megmG5OFZj8KIX:n980JpSzBsMa2ac8K
因此 , 我们比较了这个最新的样本与前述文章中提到的样本:
黑客与极客GoBrut僵尸网络新变种
本文插图
新样本其他已知的 GoBrut 样本之间存在许多相似之处 , 例如控制流与通信协议都是类似的 , 校验与任务的检索没有大幅改动 。
向 C&C 注册
黑客与极客GoBrut僵尸网络新变种
本文插图
样本向 C&C 服务器的 bots/knock 路径发送注册请求 , 表明该主机的种类、操作系统与恶意软件的版本 。 服务器响应 1 作为应答 。
检查更新
【黑客与极客GoBrut僵尸网络新变种】
黑客与极客GoBrut僵尸网络新变种
本文插图
样本向 C&C 服务器发送其版本与主机的体系结构 , C&C 服务器使用 Yes/No 响应是否存在更新 。
检索要执行的任务
黑客与极客GoBrut僵尸网络新变种
本文插图
样本向 C&C 服务器发送查询要执行的任务的请求 , 在监控过程中发现唯一的执行任务是 wpBrt 即 WordPress Brute Forcing(WordPress 爆破) , 样本使用字典攻击超过 27 万个第三方网站 。
检索要攻击的目标
黑客与极客GoBrut僵尸网络新变种
本文插图
与旧版本相同 , 该版本也使用 JSON 格式检索要攻击的目标列表 , 并尝试访问 。 这一点上可以发现 GoBrut 的行为特征:
黑客与极客GoBrut僵尸网络新变种
本文插图
危险的升级
新版本中更新了一些更强大的功能模块 , 如:
StealthWorker/WorkerQnap:针对 Qnap 的 NAS 服务登录页
StealthWorker/Worker_WooChk:针对名为 WOO Commerce 的 CMS
StealthWorker/Worker_wpMagOcart:针对 MageCart 的电商登录页面
StealthWorker/Worker_WpInstall_finder:针对 WordPress 的安装目录的侦察工具
StealthWorker/WorkerBackup_finder:用于检索暴露的备份文件夹的实用工具
StealthWorker/WorkerHtpasswd:尝试从错误配置的 htpasswd 文件中检索信息


推荐阅读


上一篇:小米一向以“价格屠夫”著称的小米,是怎么一步步“磨垮”两家企业的?

下一篇:科技数码迷卢伟冰在线“缺德”赵明的荣耀智慧屏很受伤、后果很严重