恶意家族名称:
Kaiji
威胁类型:
僵尸网络
简单描述:
近期,深信服深盾终端实验室在运营工作中捕获到一个GitLab。该病毒最早在 2020 年出现,使用多种危害较高的漏洞发起攻击,试图感染服务器和物联网设备,能够发起分布式拒绝服务(DDoS)攻击。与其他 IoT 僵尸网络不同的是,Kaiji 并没有从其他(开源或黑市论坛获取)成熟的恶意软件家族中直接套用攻击代码。
恶意文件分析
恶意事件描述
近期,深信服深盾终端实验室在运营工作中捕获到一个通过 GitLab 远程命令执行漏洞 (CVE-2021-22205) 在野传播的 Ares 团伙 Kaiji 僵尸网络新变种,根据硬编码在样本内的版本名,将该样本命名为 aresnm。
该家族僵尸网络通过多种漏洞在野传播,已经形成了一个巨型僵尸网络。在规模巨大的同时,还能提供多种恶意功能。除了 DDos 攻击等网络攻击相关的租赁服务,还会结合 XMRig 等开源矿机进行大规模的挖矿行动。不仅占用大量网络带宽资源,电力资源,还会严重消耗设备使用寿命。设备控制权的外漏也会留下无穷隐患。
相较于之前发现的版本,该样本使用最新的 Golang1.20 进行编译,在攻击方式上有所精简,配置文件中新增了 Version 字段,之前版本存在的问题也被修复了。可预测,Ares 团伙将持续更新完善该家族样本。
恶意事件分析
1、概述
不同于之前发现的 Kaiji 僵尸网络家族的样本,该样本是由最新的 Golang 1.20 编写的。同时,在修复完符号后,我们发现了大量以 Ares 为前缀的函数,由此推测,该样本也是 Ares 团伙编写的 Kaiji 变种。
在 main 模块的初始化函数中,我们发现了该样本的版本名是 aresnm,而在 .walk 配置文件中也新增了 Version 字段,该样本的值 1。不难看出,Ares 团伙打算持续运营该版本,不断更新完善。
2、配置文件
样本运行时会在本机生成一个加密存储的配置文件,与友商发现的版本不同的是,该样本的文件名由".walk.lod"变为”.walk” ,路径依次从以下选取 /etc,/mnt,/opt,/run,/sys,/tmp,/usr, 配置命令依旧以 "[a=r=e=s]" 为分隔符,同时新增了 Version 字段。
与之前一样,除了 Pid,Version 以外的其他参数都可以被 C2 指令修改,并且这些参数将同步加密保存到本地的配置文件中。
3、隐藏手段
与之前的版本相比,该样本的隐藏手法变化不大
部分 Shell 命令
先前版本出现的 bug 在此版本中已经被修复了。该样本会先复制代替换的命令文件到 /usr/bin/include 目录下,再复制替换 /usr/bin 目录下的文件。
4.通信协议
与之前的版本相比,和 C2 通信的协议并未发生太大的变化。
首部由长度为 50 字节硬编码的数据和 4 字节可变的填充字节,在该样本中硬编码的字节为
^W&a7r%8gP3q8InmpBRc%sgCdozTt24rfi2X5E8TkuH#Z0M5WE
捕获的 C2 流量
4.1上线包
上线包明文的前42字节是硬编码在文件内的,在该样本中为online*_*_\x0E8\x8E\x0B7\x0E5\x8F\x96\x0E5\x0A4\x0B1\x0E8*_*_\x0E8\x8E\x0B7\x0E5\x8F\x96\x0E5\x0A4\x0B1\x0E8*_*_,之后的各个部分通过 *_*_ 隔开。Bot 在发送上线包时,同时会上传载入的配置参数。
4.2加密算法
与之前简单的异或加密相比,该版本采用了更复杂的组合加密算法;
除此之外,在其他地方还使用了其他 4 种加密算法。
4.3 C2指令
相较于之前的版本,在攻击方式上有所精简。
以执行 shell 命令为例,根据配置,runterminal 指令会新建进程去处理 shell 命令,在新建完 shell 进程后,会向 C2 发送 “terminal*-*-shell 接入成功”,表示 shell client 创建成功,反之,会回显 “terminal*-*-shell 失败”。随后通过 terminal 指令执行后续命令。最后,通过 closeterminate 指令结束shell进程。
5.网络资产
zf.gouzapay.cn 是存放恶意软件的服务器域名,在该服务器上同时也存放着多个架构版本的该恶意软件。
IOC
zf.gouzapay.cn
tf.xn--9kqv03dn4b.xyz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解决方案
处置建议
1.避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。
2.避免到信誉不明的网站下载应用程序。
3.避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描;
4.定期使用杀毒软件进行全盘扫描。
深信服解决方案
【深信服终端安全管理系统 EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,及时查杀新威胁;
【深信服下一代防火墙 AF】的安全防护规则更新至最新版本,接入深信服云平台,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台 SIP】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙 AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于 XDR 安全能力平台和 MSSP 安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供 7*24H 的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。