歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Godlua Backdoor分析報告

來源:本站整理 作者:佚名 時間:2019-07-03 TAG: 我要投稿

2019年4月24號,360Netlab未知威脅檢測系統發現一個可疑的ELF文件,目前有一部分殺軟誤識別為挖礦程序。通過詳細分析,我們確定這是一款Lua-based Backdoor,因為這個樣本加載的Lua字節碼文件幻數為“God”,所以我們將它命名為Godlua Backdoor。
Godlua Backdoor會使用硬編碼域名,Pastebin.com,GitHub.com和DNS TXT記錄等方式,構建存儲C2地址的冗余機制。同時,它使用HTTPS加密下載Lua字節碼文件,使用DNS over HTTPS獲取C2域名解析,保障Bot與Web Server和C2之間的安全通信。
我們觀察到Godlua Backdoor實際上存在2個版本,并且有在持續更新。我們還觀察到攻擊者會通過Lua指令,動態運行Lua代碼,并對一些網站發起HTTP Flood 攻擊。
概覽
目前,我們看到的Godlua Backdoor主要存在2個版本,201811051556版本是通過遍歷Godlua下載服務器得到,我們沒有看到它有更新。當前Godlua Backdoor活躍版本為20190415103713 ~ 2019062117473,并且它還在持續更新。它們都是通過C語言開發實現的Backdoor,不過后者能夠適應更多的計算機平臺以及支持更多的功能,以下是它們的詳細對比圖。

Godlua Backdoor逆向分析
version 201811051556
這是我們發現Godlua Backdoor 早期實現的版本(201811051556),它主要針對Linux平臺,并支持2種C2指令,分別是執行Linux系統命令和自定義文件。
樣本信息
MD5: 870319967dba4bd02c7a7f8be8ece94f
ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.6.32, dynamically linked (uses shared libs), for GNU/Linux 2.6.32, stripped
C2冗余機制
我們發現它通過硬編碼域名和Github項目描述2種方式來存儲C2地址,這其實是一種C2冗余機制。

它的硬編碼C2域名是: d.heheda.tk

硬編碼Github項目地址,并將C2信息存儲在項目描述位置

C2指令
cmd_call, 執行Linux系統命令

cmd_shell,執行自定義文件

C2協議分析
數據包格式
LENGTH
TYPE
DATA
Little endian,2 bytes
1 bytes
(Length -3) bytes
加密算法
XOR 的Key是隨機產生的16 bytes數據,算法為

數據包概覽
cmd_handshake
packet[0:31]:
24 00 02 ec 86 a3 23 fb d0 d1 e9 e8 5f 23 6f 6d
70 b5 95 24 44 e0 fc 2e 00 00 00 6c 69 6e 75 78
2d 78 38 36
Length:     packet[0:1]               --->0x0024
Type: packet[2]                 --->0x02,handshake
Data: packet[3:31]
            Data
            Data[0:15]                  ---->xor key
            Data[16:23]                 ---->version,hardcoded,little endian.
            Data[24:31]                 ---->arch,hardcoded.
 
cmd_heartbeat
packet[0:10]:
0b 00 03 87 19 45 cb 91 d1 d1 a9
Length:             packet[0:1]                 --->0x000b
Type:         packet[2]                   --->0x03,heartbeat
Data:         packet[3:10]                --->xored clock64()
version 20190415103713 ~ 20190621174731
它是Godlua Backdoor當前活躍版本,主要針對Windows和Linux平臺,通過Lua實現主控邏輯并主要支持5種C2指令。

[1] [2] [3] [4]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺