Akamai最近发现了一个僵尸网络KmsdBot,它具有DDoS功能和通过全球部署的蜜罐为游戏行业量身定制的加密货币挖掘功能。发现KmsdBot因为蜜罐对外开放,会发现大量的攻击,包括很多下载恶意软件的命令。其中一个引起了分析人员的注意:下载日志攻击者使用FTP下载了想要的恶意样本,而FTP服务器上还有很多其他样本。支持多种架构从目录来看,该恶意软件似乎支持多种CPU架构,但实际上有些包含二进制文件,有些是空目录。攻击者可能会继续扩展支持的架构并扩大攻击目标的范围。download.php脚本包含用于在Web服务器上下载恶意软件的恶意代码。某些架构(如x86_64和386)下的恶意代码样本可以下载如下:大小相似的二进制文件似乎是相同恶意代码的修改版本这些样本都是Go开发的二进制文件:客户端:ELF32-bitLSBexecutable,Intel80386,version1(SYSV),静态链接,GoBuildID=ob_PyXeD8H4173aDP-NM/Z7DzwyNXZ8c1Wr7LyTOK/t8bg8nky3tdpKdKSAvyp/_nWexL6rk1sZt5hRLfgs,withdebug_info,notstrippedksmdm:ELF64-bit-LSB6executable,x86,动态链接,解释器/lib64/ld-linux-x86-64.so.2,GoBuildID=lmjZVXbGVxjEutEAYziK/ak2EoKWzPPmCz2ipOltK/uKypKwO7m2jjT2AT0qnG/PiKIqd334XYNEl_likc3,带调试信息,未剥离ksmds:ELF64位8LSB4可执行文件,SYS64位8LSB4版本),动态链接,解释器/lib64/ld-linux-x86-64.so.2,GoBuildID=CV7cqV3r6hVM05Ma2jpB/kc_FWOhPv8HtKZQUhiUi/jrGTR9lhjVWxp-9kHdDA/ev1S8rMmqqwjpvWz4sLX,withdebug_info,notxstrippedksmdx-bit8ELF-64,版本1(SYSV),动态盟友链接,解释器/lib64/ld-linux-x86-64.so.2,GoBuildID=S65yXt0R7hEC1YEm5Ci7/qGG-jP6bpvA1TCgQwZoV/WpM491XNek0FReOrQmX_/EMNmhh6mJI8ycZhLPtP4,带有debug_info,未剥离kxmd:ELF64位LSB可执行文件,x86-64,版本1(SYSV),动态链接,解释器/lib64/ld-linux-x86VT86-64.so.2,Gopm/DwlgdSzYxLxitlBpe0OR/hdbtJaHv8ujFruku5AIJ/RrSUbVKsJ9wj-rBopzh3,withdebug_info,notstrippedkzmd:ELF64-bitLSBexecutable,x86-64,version1(SYSV),dynamicallylinked,interpreter.6x-sold/lib464/,GoBuildID=2FTLNIjq7bgMnSOW0NhD/YBc64Ubft703RycI5yQL/85YkVXL_eseyGJG3XHm1/M_laLRa5tNb5oeZ24ROq,withdebug_info,notstrippedAnalysis这些二进制文件的包都是/root/client,也就是说它们可能都是同一个恶意软件,只是里面有不同的版本而已一个文件可以进行C&C通信,软件更新,加密货币挖掘,另一个文件可以进行攻击。$diffclient.sourceksmdm.source19,23c19,23<起始行:12到28(16)xxx.xxx.xxx.xxx.52280:Flags[P.],cksum0xf2b4(correct),seq20:24,ack21,win510,options[nop,nop,TSval1019359456ecr4067014838],长度40x0000:45000038adf340003a069b4aab161e1fE..8..@.:..J....0x0010:c63a6812c8bccc3881f9f90aabeb552a.:h....8......U*0x0020:801801fef2b400000101080a3cc230e0.....................<.0.0x0030:f269b8b630783031.i..0x01使用netcat可以进行简单测试:$echo"0x00"|ncxxx.xxx.xxx.xxx513880x01[pid2516369]write(4,"0x00",4)=4看起来0x02是heartbeatxxx.xxx.xxx.xxx.52280>xxx.xxx.xxx.xxx.51388:标志[P.]、cksum0xf7ac(不正确->0xd616)、seq57:61、ack57、win502、选项[nop、nop、TSval4066922833ecr1019262337]、长度40x0000:45000038301040004006136ec123E..80.@.@.....:h.0x0010:ab161e1fcc38c8bcabeb54de81f9f8c2.....8....T.....0x0020:801801f6f7ac00000101080af2685151.........hQQ0x0030:3cc0b-58130783032<...0x02通讯流程如下:%telnetxxx.xxx.xxx.xxx57388Tryingxxx.xxx.xxx.xxx...连接到xxx.xxx.xxx.xxx。转义字符是'^]'.0x000x010x020x010x020x010x020x010x020x010x020x01sym.main.randomwallet()函数中内置了几个钱包地址。在分析池时,将随机选择分析师。分析过程中未发现挖矿行为,僵尸网络仅进行DDoS攻击。当然,攻击者仍然可以通过./ksmdr-opool.hashvault.pro命令开始挖矿。││?0x0065b6b0488d05356c08。learax,[0x006e22ec];"42WDUXX5UYtNf9DyboNRx6TgNrJD43QfgTvEjh8djtdKVoNppnN96Nz8sVp2wWJTQgW9e8XjFLkv6KpSEgwWbLXLMKn5wwg42vGrE1WDpKgue8Y9ewpi6gXupMqDqYi"││?0x0065b6b74889442428movqword[var_28h],rax││?0x0065b6bc48c74424305f.movqword[var_30h],0x5f;'_'││?;[0x5f:8]=-1;95││?0x0065b6c5488d053d6d08。learax,[0x006e2409];"46DBehyheMSatgdGffv8SVAEK8ts6Ur4wToVNL99Yqo6ZGnv7q4QpaxG7YnaasngPvN1rbyxYyCZAABgyXyme92wRMaVn1V3617de4a96262c6f5d9e98bf9292dc29"││?0x0065b6cc4889442438movqword[var_38h],rax││?0x0065b6d148c74424405f.movqword[var_40h],0x5f;'_'││?;[0x5f:8]=-1;95││?0x0065b6da488d05c96c08。learax,[0x006e23aa];"45yK4gR5QCNag2X4g6ss6PUiL4s1e929b8mev4Rz3CbiTPU9NSXYHiyPL9FMi6cDVvD7EKho4atUf82s3vkVfFXNSsMqyUE46DBehyheMSatgdGffv8SVAEK8ts6Ur4"││?0x0065b6e14889442448movqword[var_48h],rax││?0x0065b6e648c74424505f.movqword[var_50h],0x5f;'_'││?;[0x5f:8]=-1;95││?0x0065b6ef488d05556c08.learax,[0x006e234b];"42vGrE1WDpKgue8Y9ewpi6gXupMqDqYiKV4EwM7CFZFuNdRKP3dG6rADE7DRAcoEWGY6LmgCRKAiX16wGAu3Tj4mMQ9HR5B45yK4gR5QCNag2X4g6ss6PUiL4s1e929"对样本分析后,可以确定很多文件都是同一代码库的不同版本,僵尸网络仍然在积极迭代更新$diffreports/kxmd/kxmd-src.txtreports/75569874dadb814ce51d121c108ead006b0f39c27057945b649837563f635f51/75569874dadb814ce51d121c108ead006b0f39c27057945b649837563f635f51-src.txt8c8<(*Command)HandleLines:32to136(104)(*Command)HandleLines:32to144(112)11,18c11,20
