cat /etc/*release | uniq命令实现的 。
root@debian:~# cat /etc/*release | uniqPRETTY_NAME="Debian GNU/Linux 9 (stretch)"NAME="Debian GNU/Linux"VERSION_ID="9"VERSION="9 (stretch)"ID=debianHOME_URL="https://www.debian.org/"SUPPORT_URL="https://www.debian.org/support"BUG_REPORT_URL="https://bugs.debian.org/"cat /etc/*release | uniq这条命令正是以下密文通过新的AES密钥配合下图中的参数解密而来 。
cmd ciphertxt---------------------------74 00 dd 79 e6 1e aa bb 99 81 7e ca d9 21 6b 81 6b d9 9d 14 45 73 6a 1c 61 cc 28 a3 0f 2b 41 5a 6b 33 8c 37 25 89 47 05 44 7e f0 6b 17 70 d8 ca
文章插图
Bot -> C2当BOT接收到C2的“上报设备信息”指令后,会向C2发送以下数据,可以看出key部分的值依然是
ea 9a 1a 18 18 44 26 a0 。
文章插图
从上文已知解密后key值为
4c cf cb db db 39 2a 1e,通过这个值将Bot发往C2的payload解密解压后,得到如下数据,正是设备的各种信息,其中有前文提到的通过cat /etc/*release | uniq获取的信息,验证了我们的分析是正确的 。
文章插图
与Torii Botnet团伙的关系Torii僵尸网络于2018年9月20日被友商Avast曝光,对比RotaJakiro,俩者的相似之处体现在以下3方面:
1:字符串相似性RotaJakiro&Torii的敏感资源解密后,我们发现它们复用了大量相同的命令 。
1:semanage fcontext -a -t bin_t '%s' && restorecon '%s'2:which semanage3:cat /etc/*release 4:cat /etc/issue5:systemctl enable6:initctl start...2:流量相似性在构造流量的过程中,大量使用常数,构造方式非常接近 。
文章插图
3:功能相似性从安全研究人员进行逆向工程的角度来说,RotaJakiro&Torii有着相常相似的风格:使用加密算法隐藏敏感资源,都实现了相当old-school式的持久化,结构化的网络流量等 。
基于这些考量,我们推测RotaJakiro和Torii出自同一个团伙之手 。
冰山一角至此RotaJakiro的逆向与溯源告一段落,但真正的工作远没结束,有许多问题依然没有答案:“RotaJakiro是怎么传播的,它的目的是什么?”,“RotaJakiro是否有特定的攻击目标,是不是APT?”,“RotaJakiro与Torii背后的黑手是谁?”......由于我们的视野有限,目前只能向安全社区分享这么多 。如果社区有相关的线索,欢迎与我们联系,让我们一起
Make Cyber Security Great Again 。推荐阅读
- 欧姆龙是哪个国家的品牌?Laneige兰芝是什么品牌?
- 言承旭微博新浪微博 蓝正龙微博
- 荷叶泽泻绞股蓝乌龙茶能减肥吗
- 云南腾冲龙江特大桥简介 龙江特大桥
- 大S|曝大S癫痫发作,具俊晔不管娇妻,卷上亿资产跑路,配图闹大乌龙
- 隆昌石牌坊 贞洁牌坊
- 1995四川尸变 九龙抬尸棺
- 爨龙颜碑高清字帖 爨龙颜碑
- 短视频龙头概念股 余额宝概念股
- 吴奇隆|胖成“成龙”的吴奇隆,年轻时有多风光?直言:奥运会教练被我打