2024年5月20日,XLab的威胁感知系统检测到一个可疑的ELF文件/usr/bin/geomi,该文件使用变形的UPX加壳,从俄罗斯上传到VirusTotal。随后在德国也发现了相同类型的文件。经过分析,确认这是一个使用Golang实现的僵尸网络,我们命名为Zergeca。
Zergeca功能
Zergeca不仅是一个典型的DDoS僵尸网络,还具备以下功能:
代理
扫描
自升级
持久化
文件传输
反向shell
收集设备敏感信息
网络通信
Zergeca的通信特点:
支持多种DNS解析方式,优先使用DOH进行C2解析
使用不常见的Smux库实现C2通信协议,并通过xor进行加密
样本&C2检测
Xlab捕获的四个样本功能几乎一样,但检测率差异较大
大部分杀软产商对以下样本研判结果是Generic Malware,我们推测杀软基于hash特征进行检测,一旦hash变化,检测效果就会变差。
23ca4ab1518ff76f5037ea12f367a469
为了验证猜想,我们在该文件的尾部加入了4字节“Xlab”,重新上传VT后,检测率变成了9/67,部分证明了我们的推测。
域名和IP关联
四个样本共用两个在同一天创建的C2域名(ootheca.pw 和 ootheca.top),优先使用DOH方式进行C2解析,掩盖了样本和C2域名之间的关系,导致检测率低。C2域名和IP地址(84.54.51.82)的分析显示,该IP自2023年9月以来参与了多种网络活动,包括扫描、下载和僵尸网络C2服务。曾为多个Mirai僵尸网络提供服务,Zergeca的作者具有运营Mirai僵尸网络的经验。
总结
过逆向分析,我们对Zergecar的作者有了初步的认识:内置的竞争对手名单表明其作者对Linux生态下流行的威胁非常熟悉;使用变形UPX加壳、敏感字符串的xor加密、以及通过DOH隐藏C2解析等技术,显示了他们的免杀意识;基于Smux实现网络协议则展示了其开发能力。面对这样一个既会运营、又懂对抗、还能开发的对手,我们在未来如果再看到他的新作品也不会感到意外,只想说:“Give it your all and wow us!”
详细信息请点击下方的阅读原文阅读