阴影中的巨兽:物联网僵尸网络Andoryu近期转变剖析

宣布时间 2023-06-14

优发国际网站官网与广州大学网安学院发明了物联网僵尸网络Andoryu的新型变种Andoryu_V2。本文将从僵尸网络规模、撒播方法、样本手艺剖析三方面,对该僵尸网络撒播、熏染、C&C控制、攻击全生命周期细节等举行先容,可作为各行业及相关企业制订网络清静战略的参考。


2023年3月尾,优发国际网站官网在加入国家重点研发妄想项目“大规模异构物联网威胁可控捕获与剖析手艺(2022YFB3104100)”的研究历程中,发明了基于Socks5协议的物联网僵尸网络Andoryu的新型变种(Andoryu_V2)。


Andoryu_V1版本已于今年2月份被首次揭破,本次我们将比照剖析Andoryu_V2版本和Andoryu_V1版本,详细泛起出该僵尸网络撒播、熏染、C&C控制、攻击全生命周期细节。别的,通过2个多月的监测剖析发明,我们发明Andoryu_V2版本有新增使用CVE-2022-30525、CVE-2023-25717误差的行为,新增署理服务器凌驾130个,反应出该僵尸网络进一步扩张的意图,需要增强清静提防。同时,我们还发明该僵尸网络与Fbot可能具有一定的关联性。


僵尸网络规模


监测剖析发明,Andoryu僵尸网络平均日增上线境内肉鸡数(IP数盘算)凌驾1500台,正处于生长初期。2023年4月尾到5月初,Andoryu有一次较量大规模的撒播,日存活量凌驾2000。


优发国际·随优而动一触即发


撒播方法


阻止到现在,我们视察到Andoryu主要使用NDay误差撒播。所用误差列表如下:


优发国际·随优而动一触即发


2023年2月-3月,Andoryu多使用CVE-2021-22205、LILIN DVR RCE误差撒播。


2023年4月,新加入CVE-2023-25717的使用,一个Ruckus Wireless装备的误差。使用乐成后下载执行剧本文件ruckus.sh,以植入Andoryu。


2023年5月8日,我们监控到对Zyxel防火墙远程下令注入误差CVE-2022-30525的使用。


优发国际·随优而动一触即发


在可预见的未来,Andoryu很可能还会加入新误差的使用,富厚其武器库。


样本手艺剖析


Andoryu僵尸网络支持多种CPU架构,包括arm、m68k、mips、mpsl、sh4、spc和x86等。以下是主要转变比照:


优发国际·随优而动一触即发


在本文中,我们主要以5月8日的V2样本为主举行剖析,并穿插先容V1到V2样本的主要迭代转变。这些转变的细节可能包括代码逻辑的微调、加密算法的调解等。整体而言,Andoryu僵尸网络坚持了相对稳固的基础架构和C2通讯模式。


1、初始化


为对抗沙盒等模拟情形的自动化剖析,与其它盛行僵尸网络相同,Andoryu运行时首先会对启动参数举行检查,以确保自身的清静性。若是不携带参数,则直接退出。差别于其它家族的是,Andoryu运行后会将启动参数发送至C2服务器举行特另外二次校验。


当参数准确时,则进入执行流程:历程名伪装、解密资源,随后和C2建设通讯并期待执行C2下发的指令。


在V2版本中会将历程名伪装成"DvrHelper"或者"-bash" ,V1则为"/bin/bash"。解密敏感资源V2版本使用的是异或,而在V1版本中使用的是某种魔改版的xxtea算法解密:


优发国际·随优而动一触即发


有趣的是,资源解密事情完成之后,Andoryu将在Console上打印解密出的字符串"Project Andoryu (12/30/2022). What color is your botnet" 或"Andoryu botnet started (12/30/2022)",这批注Andoryu很可能是2022年12月30号启动的项目。


2、通讯协议


监测发明,绝大大都Andoryu的样本均不直接与C2举行通讯,而是通过Socks5署理服务器举行转发,泛起两层控制结构。5月8号的V2样本曾短暂去除Socks5署理,但厥后很快又恢复。在V1版本只有一个署理服务器,V2版本便增添至130多个。


优发国际·随优而动一触即发


在C2通讯交互上,Andoryu与Fodcha很是类似,通过状态码切换以执行差别操作:


优发国际·随优而动一触即发


主要状态如下:


优发国际·随优而动一触即发


Andoryu在与C2服务器举行通讯时,使用定长为2152字节的数据结构封装。V1和V2都是云云,整体封装结构如下:


优发国际·随优而动一触即发


以上线数据为例:


优发国际·随优而动一触即发


首个4字节为公网IP;4字节随机数据24 52 ae 57;2字节20 21为数据类型,体现为上线数据;4a d8 74 50 4d de 为xor加密后的数据内容,解密后现实为启动参数。


优发国际·随优而动一触即发


32字节sha256校验和5d 7f 05 6e...67 7b 05 68;偏移0x84C处 06 00 00 00 体现payload长度;偏移0x854处86 0f 为内存巨细,0x0f86即为3974M;最后payload的异或Key随机天生,并生涯在上线数据的偏移0x861-0x864处,本例是38 ad 17 3b。


随后C2返回简直认数据,前4字节是C2 地点,本例是68 ea ef b0。随后4字节是随机数据c7 fc b8 00。再之后2字节的20 22代表是确认数据,至此,Andoryu上线乐成。


优发国际·随优而动一触即发


3、攻击指令


Andoryu的攻击很活跃,我们监控到许多次C2返回的DDoS攻击下令,如下一例:


优发国际·随优而动一触即发


下令剖析如下:


优发国际·随优而动一触即发


payload异或解密后为"udp-plain 135.xx.xx.xx 60 dport=53 psize=150",随后Andoryu向135.xx.xx.xx:53提倡udp-plain DDoS攻击:


优发国际·随优而动一触即发


Andoryu对C2下令的处置惩罚函数没有任何转变,以下是2月和5月样本的比照:


优发国际·随优而动一触即发


现在,Andoryu共支持6类指令,包括DDoS攻击下令,如下:


优发国际·随优而动一触即发


Andoryu支持3种协议(tcp、udp、icmp)共16个DDoS攻击类型,包括tcp-raw、tcp-socket、tcp-cnc、tcp-handshake、tcp-ovh、tcp-bypass、udp-plain、udp-game、udp-ovh、udp-raw、udp-vse、udp-dstat、udp-bypass、udp-hex、udp-rhex、icmp-echo。


优发国际·随优而动一触即发


4、与其他家族的关联


Andoryu和C2的通讯交互在代码层面和FodCha很是类似,都是一个永真的While循环,通过switch-case举行各个阶段的处置惩罚。到现在为止,这种方法是已知僵尸网络里唯二的例子。另外,Fodcha V3也使用xxtea加密算法,而Andoryu V1是使用某种魔改版的xxtea。


这似乎批注,两者也许有某种关联,但除了上述两点,暂时没有更多实锤证据。不过,Andoryu和Fbot有确切的关联,他们一经使用统一个C2。5月13号的V2样本里,通过socks5毗连C2服务器dnsresolve.socialgains.cf:10333。


优发国际·随优而动一触即发


而在5月4号,我们监控到有Fbot样本使用dnsresolve.socialgains.cf:61002作为自己的C2服务器。我们会继续跟踪视察,查找Andoryu和其它家族的关联。


5、IoC


优发国际·随优而动一触即发