背景
一段时间之前,我们捕获了一个VT 0 检测,使用变形UPX加壳,名为pandoraspear的可疑ELF样本。在分析过程中,我们发现它硬编码了9个C2域名,其中有2个域名过期的保护期已过,于是我们注册了这2个域名用以度量僵尸网络的规模。在我们能观测的时间内bot的巅峰日活为17万左右(8月份至今我们累计观察到的BOT IP数量去重后超过130万),绝大部分位于巴西。
当这个团伙发现我们注册了他的域名之后,通过DDoS攻击我们注册的域名迫使域名下线以及修改被侵入设备hosts(通过修改机器hosts文件将特定域名指向特定IP,从而绕过DNS解析获得CC域名IP地址)等方式与我们展开了对抗,使得我们失去了大部分视野。
随着样本分析与溯源工作的深入,一个从2015年开始活跃的大型黑产团伙慢慢浮出了水面,在我们眼前日益清晰。这个团伙主要针对的设备是Android操作系统的电视、机顶盒,eCos操作系统的机顶盒等。不同于一般的僵尸网络通过0/N day传播,这个团伙组建僵尸网络的主要手段是免费或廉价的满足用户的视听需求,即诱使用户安装免费的视频APP,或固件刷机安装廉价的影像娱乐平台,这些APP/平台都带有后门组件,一旦安装设备就成了黑产团伙私建流媒体平台中的一个业务流量节点;业务涵盖流量代理,DDoS攻击,互联网提供内容的服务(OTT),盗版流量(Pirate Traffic)等。基于这个僵尸网络庞大的规模,以及文件名pandoraspear,我们将这个团伙命名为Bigpanzi。
2023年5月,pandoraspear引起了Dr.WEB的关注并于9月6日向社区公布了他们的发现,这补全了我们团队对pandoraspear通过盗版流量APK传播的感染方式的认知。
Bigpanzi的危害不仅有大家熟知的DDoS攻击,它还可以利用被控制的Android电视或机顶盒不受法律法规约束的传播任何图像、声音信息。这种攻击方式在现实世界已有真实的案例,如在2023年12月11日,阿联酋居民使用的机顶盒遭到网络攻击,常规内容被替换为显示巴以冲突的视频。试想,如果被Bigpanzi控制的TV、STB被用于传播暴力、恐怖、色情,亦或是利用当前足够以假乱真的AI技术炮制领导人的视频进行政治宣传,都会极大影响人们的正常生活秩序,危害社会稳定。
Bigpanzi的身份
我们在Bigpanzi的部分样本中发现了一个downloader域名ak.tknxg.cf
。通过Google,我们发现了2条有用的线索,它们一个是指导用户如何进行升级,一个是指导用户如何修复设备。尤其是前者https://www.youtube.com/@customersupportteam49
的频道中大量视频是和设备操作相关的,有着极其浓重的“官方”的色彩。
我们在西班牙产商FoneStar官方网站上的RDS-585WHD的产品介绍页中找到一个eCos系统的固件
这个固件中有和Bigpanzi DDoS样本一模一样的DDoS任务名,方法名等字符串,是一个“官方带毒固件”。(注:这不能说明FoneStart就是Bigpanzi!)
“官方视频号”、“官方带毒固件”的发现,让我们开始怀疑Bigpanzi的真实身份。事实上我们的溯源有一定的成果,大量可靠证据指向一家从事相关业务的企业,但此处不便展开,对内幕感兴趣的读者,可以和我们联系!
关于本文的详细分析,请点击下方阅读原文,或直接查看奇安信 xlab的博客 https://blog.xlab.qianxin.com/