Mbedbot:TLS加密的后门化僵尸网络

宣布时间 2023-09-27

优发国际网站官网与广州大学网安学院发明了一个后门化的物联网DDoS僵尸网络,并将其命名为Mbedbot 。本文将从其执行流程、通讯协议、控制下令及后门等手艺剖析角度入手,对该僵尸网络举行周全先容,以作为各行业及相关企业制订网络清静战略的参考 。


2023年7月初,优发国际网站官网在加入国家重点研发妄想项目“大规模异构物联网威胁可控捕获与剖析手艺(2022YFB3104100)”的研究历程中,发明了一个后门化的物联网DDoS僵尸网络家族 。


代码结构上,该僵尸网络复用了Mirai的DDoS攻击相关代码,并在其基础上增添https ddos以及tcp syn攻击能力 。与其它基于Mirai源码的主流僵尸网络差别的是,除DDoS功效之外,该僵尸网络还实现了远程文件治理、历程操作等诸多后门功效 。


并且,其使用tls协议与C2举行加密通讯 。因其所用tls类库为mbedtls,以是我们把此僵尸网络家族命名为Mbedbot 。



手艺剖析



现在为止,我们暂时只捕获到arm4架构的样本,未发明其它架构的样本 。Mbedbot整体代码很精练,没有太多花哨的地方,完成常见操作流程后,即进入和C2的交互通讯 。


1、执行流程


运行后,打印字符串"listening tun0",并通过监听31212端口,实现简单实例运行 。之后通过异或解密出字符串资源,与Mirai的字符串高度重合:


优发国际·随优而动一触即发


随后,初始化DDoS攻击向量,共支持11个DDoS攻击方法 。初始化代码以及各个DDoS代码完全复用自Mirai:



优发国际·随优而动一触即发


但Mbedbot比Mirai多一个针对https协议的DDoS攻击类型attack_app_https,同样使用mbedtls库,这也是首次发明支持https协议的DDoS攻击 。



优发国际·随优而动一触即发


完成上述操作后,进入和C2交互通讯的循环函数 。在交互函数里,首先通过异或解密出C2地点,并使用tls协媾和C2建设通讯 。tls类库为mbedtls,其前身是PolarSLL,现已被ARM公司收购,由ARM手艺团队维护更新 。


优发国际·随优而动一触即发


使用tls加密之前网络的系统信息,发送给C2,随后期待执行C2下发的种种下令 。



2、通讯协议



Mbedbot的通讯协议相对简朴 。在和C2建设tls通讯之后,先向C2发送4字节的上线数据长度,2字节的数据类型"\xFF\xFF",再发送受害系统信息(上线数据) 。


优发国际·随优而动一触即发



可见,Mbedbot网络的系统信息很周全 。其中:


huuid是硬编码的字符串,指示C2服务器(host)身份id;


buuid则随机天生,体现受害主机(bot)身份id;


version用于指示版本信息 。


发送上线数据之后,执行select函数,实验吸收C2下发的种种下令 。其中,Mbedbot每15分钟会向C2发送一次硬编码的“心跳“包,用以更新主机存活状态 。发送心跳包如下:


优发国际·随优而动一触即发


同时C2返回的17字节心跳包数据,如下:




优发国际·随优而动一触即发


其中前16字节"\xD9\x01....\x3B\x3F"是随机天生的SessionID,第16字节是下令码,\xFF体现是心跳包数据 。


优发国际·随优而动一触即发


3、控制下令&后门


Mbedbot实现了许多后门功效,包括文件类(建设读取上传下载执行),执行shell历程,DDoS攻击,竣事指定历程,重置C2服务器,退出自身历程等 。




优发国际·随优而动一触即发


Mbedbot的下令名堂较量简朴,前16字节是C2随机天生SessionID,统一通讯会话是唯一的 。第16字节是下令码,厥后是下令参数 。



优发国际·随优而动一触即发


以如下下令为例:


优发国际·随优而动一触即发


FC12…57D2,16字节SessionID;


0x0F,1字节下令码,此下令用来设置并重新毗连新的C2服务器 。


fakembedbotc2.com,下令参数,将C2服务重视设为此 。


随后,受害主机实验剖析并毗连fakembedbotc2.com:



优发国际·随优而动一触即发



以下是各下令码及其对应后门功效:


优发国际·随优而动一触即发



结 语



Mbedbot完整复用了Mirai的DDoS代码,并在其基础上新增两个“自研“的tcp syn攻击以及https ddos攻击能力 。并且,针对自身的后门功效举行了富厚,以实验增强对bot主机的控制能力 。


别的,相较于其它僵尸网络,Mbedbot直接使用tls加密和C2的通讯,只管通讯协议自己并不重大,但在tls加持下,能够有用的规避通例特征指纹检测 。



IOC



66.42.52.39:443

92.38.135.146:77

dftiscasdwe.w8510.com:443