GooberBot—Scar租赁僵尸网络样本分析

1. 概述

2023 年 1月初，奇安信威胁情报中心威胁监控系统监测到一起未知家族恶意样本利用CVE-2022-30525漏洞传播的事件。经过分析，该家族样本还处于测试阶段，近期进行了多次更新迭代。除该漏洞外该家族样本还通过CVE-2021-22205、CVE-2021-35394进行传播。

该家族归属 Scar 租赁僵尸网络，Scar 租赁网络价格低廉，最低仅 15$ 就可以获取长达一个月的DDoS攻击权限。

该新型僵尸网络家族初始样本于2022年8月份开始传播，按照初始样本的落地名称我们将本次发现的家族命名为GooberBot。

2. 样本关键行为分析
本文以 x86-64 样本为例进行分析，样本信息：

文件名	文件大小	文件MD5
git.x86_64	18412 bytes	FF3DD951F62D20ECC66450F8BB783F0D

  

2.1 运行参数

样本支持带参数运行，"Show" 参数可在样本运行时输出一些显示运行状态的Debug字符串，"UpDaTe" 参数可对样本进行升级：



2.2 单例运行

样本通过读取 "/proc/net/tcp" 中是否已有C2服务器地址的连接，来保证样本的单例运行：





2.3 C&C加密通信

连接C2并发送上线包，样本与C2服务器通信过程加密，发送数据前会先通过自实现的算法进行加密，获取数据后使用逆算法进行解密：



加密算法如下，加密key同数据一起发送给服务器，key与样本运行的PID相关，所以在PID相同时算法的加密key是相同的：



C2服务器收到上线包确认后会回复加密的 "WELCOME"：



奇安信威胁情报中心威胁监控系统已成功监控到下发指令：



3. 通信协议分析
GooberBot的通信协议与Gafgyt家族基本一致，区别是GooberBot的通信存在上述的加解密算法，C2服务器下发数据解密后与Gafgyt相同，为ASCII明文。


支持的指令包含DDoS攻击、暂停攻击、BOTKILL退出：



前期版本中还支持 "REVERSESHELL" 反弹shell、"DOWNLOAD" 下载文件：



4. 样本更新历史
通过回溯关联分析，发现该僵尸网络的初始样本于去年8月份开始传播，今年1月左右开始进行频繁的更新迭代，根据样本特征，将该家族分为三个版本。
V0_0

该家族的初始版本，在此版本中样本与C2的服务器通信不存在加密，而是直接进行明文通信。



V0_1

从该版本开始，通信实现了加密算法，单例运行的方式是通过判断文件 "/tmp/SuicideBoys.pid" 是否存在，并且在上线包中无样本版本信息。



V1

该版本中，单例运行的方式修改为判断网络通信是否有C2，并且上线包中会携带样本的版本信息 "1.0.x"。



5. 相关团伙

在对该家族进行关联分析时发现该僵尸网络属于一个租赁网络，BotMaster将其称为Scar，租赁费用低廉，价格最低仅每月15美元。

对Scar租赁僵尸网络进行分析，确认该租赁网络除了包含本次发现的新型僵尸网络样本外，还包含 Mirai 和 Moobot两大家族，与BotMaster 的聊天中也可以得知该团伙的攻击实力较高，微软Xbox的支持页面 "support.xbox.com" 证实曾被该团伙DDoS攻击导致宕机。



6. IoCs
b360fa11aef049d8ae4ec4549c27f8ef
c17608e6e32d0764e1b2b5b1e8393b26

c5d7b0c26a272534bdce75257214093a

08e110aad0bf09c2cdd64b0df0733b25

dc258dae764b6a37ae16ead1df1dc875

ff3dd951f62d20ecc66450f8bb783f0d

79.137.202.177

193.35.18.171:8338

193.35.18.171:9166

47.87.230.236:6666 (Moobot C&C)

198.98.56.129:13 (Mirai C&C)