长亭百川云 - 文章详情

虫潮降临:Zergeca僵尸网络分析报告

奇安信XLab

48

2024-07-13

2024年5月20日,XLab的威胁感知系统检测到一个可疑的ELF文件/usr/bin/geomi,该文件使用变形的UPX加壳,从俄罗斯上传到VirusTotal。随后在德国也发现了相同类型的文件。经过分析,确认这是一个使用Golang实现的僵尸网络,我们命名为Zergeca。

Zergeca功能

Zergeca不仅是一个典型的DDoS僵尸网络,还具备以下功能:

  • 代理

  • 扫描

  • 自升级

  • 持久化

  • 文件传输

  • 反向shell

  • 收集设备敏感信息

网络通信

Zergeca的通信特点:

  • 支持多种DNS解析方式,优先使用DOH进行C2解析

  • 使用不常见的Smux库实现C2通信协议,并通过xor进行加密

样本&C2检测

Xlab捕获的四个样本功能几乎一样,但检测率差异较大

大部分杀软产商对以下样本研判结果是Generic Malware,我们推测杀软基于hash特征进行检测,一旦hash变化,检测效果就会变差。

23ca4ab1518ff76f5037ea12f367a469

为了验证猜想,我们在该文件的尾部加入了4字节“Xlab”,重新上传VT后,检测率变成了9/67,部分证明了我们的推测。

域名和IP关联

四个样本共用两个在同一天创建的C2域名(ootheca.pw 和 ootheca.top),优先使用DOH方式进行C2解析,掩盖了样本和C2域名之间的关系,导致检测率低。C2域名和IP地址(84.54.51.82)的分析显示,该IP自2023年9月以来参与了多种网络活动,包括扫描、下载和僵尸网络C2服务。曾为多个Mirai僵尸网络提供服务,Zergeca的作者具有运营Mirai僵尸网络的经验。

总结

过逆向分析,我们对Zergecar的作者有了初步的认识:内置的竞争对手名单表明其作者对Linux生态下流行的威胁非常熟悉;使用变形UPX加壳、敏感字符串的xor加密、以及通过DOH隐藏C2解析等技术,显示了他们的免杀意识;基于Smux实现网络协议则展示了其开发能力。面对这样一个既会运营、又懂对抗、还能开发的对手,我们在未来如果再看到他的新作品也不会感到意外,只想说:“Give it your all and wow us!”

详细信息请点击下方的阅读原文阅读

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2