Andoryu Botnet僵尸网络样本分析
一、样本标签
| 标签名 | 描述 |
|---|---|
| 原始⽂件名 | Andoryu.x86 |
| MD5 | 00a8b3eed7356153ab93d2fd3366a60e |
| ⽂件⼤⼩ | 41.22 KB (42208 bytes) |
| ⽂件格式 | ELF 64-bit |
| 加壳类型 | 无 |
| 编译语⾔ | C/C++ |
| SHA1 | c948b7115ddb0f44a196f11be08c025ca2379194 |
| CRC32 | D0419ABA |
| 开源报告 | https://mp.weixin.qq.com/s/YVwNHW3sGW8dpTymkp5Ivg |
二、详细分析
1、样本初始化
样本(00a8b3eed7356153ab93d2fd3366a60e)首先将自己的运行程序名伪装为/bin/bash,然后判断运行参数是否为2.
然后初始化C2和通讯端口。
运行初期将加密的字符串资源进行解密。
该僵尸网络存在关键字符串为Andoryu Botnet,并且可以了解到编写者测试样本的时间为2022年12月30日。
接着创建无用户密码认证的socks5代理,代理服务器地址为之前解密出的152.67.66.37:1080。
并告知代理服务器需要访问哪个远程服务器,远程服务器地址批量解密时获取。
设置接收数据监听。
所有操作继续完毕后发送带有本机IP+sha256(运行参数)的上线包。
其中本地IP通过DNS绑定查询。
2、接收消息解析
样本接收到消息后开始继续解析指令后执行对应分支。其中数据有如下格式:
1 | struct recev_data{ |
经过详细分析可知cmd存在以下分支命令:
| 指令 | 说明 |
|---|---|
| 0x20 | 结束自身. |
| 0x11 | ddos攻击. |
| 0x15、0x16 | 重新设置dest_c2,数据由接收原服务器发来指定. |
| 0x23 | 仅当type==0x20时,回传本地IP至远程服务器. |
| 0x22 | 仅当type==0x20时,关闭socket代理. |
3、DDOS攻击
样本支持多种DDoS方法,具体如下:
| Name | Description |
|---|---|
| icmp-echo | ICMP Flood |
| udp-ovh | UDP Flood for OVH |
| udp-game | UDP Game Flood |
| udp-plain | UDP Plain Flood |
| tcp-raw | TCP Flood |
| tcp-socket | TCP Syn Flood |
| tcp-handshake | TCP Flood |
样本根据攻击者服务器回传的数据进行选择DDOS类型,其中数据中指定了该DDOS类型所需要的参数。
然后发送数据包进行ddos攻击。
