RedGoBot新變種近期活動分析

概述

RedGoBot 是一個由 Go 語言編寫的 DDoS Botnet 家族，最早由奇安信威脅情報中心于 2022 年 12 月初曝光。

2023 年 7 月底，我們的未知威脅監控系統監控到IP地址 185.224.128.141 瘋狂暴破常見 Telnet 服務端口并傳播一款 Go 語言編寫的 DDoS 僵尸網絡木馬。經過我們分析，該家族是曾被我們曝光過的 RedGoBot 的新變種。

該家族變種樣本部分功能借鑒 Mirai 的設計，比如編寫專門的 ensureSingleInstance() 函數，通過監聽本地端口來保證單一實例運行，還會以類似的 Killer 機制殺掉特定的進程。比起舊版本，新版樣本另一個明顯的變化是把所有重要字符串均用 Base64 編碼，運行中實時解碼使用。在傳播最新的變種樣本之前，RedGoBot 還短暫傳播了一個中間過渡版本，樣本核心功能與最新版本一致，只是內部字符串都沒有用 Base64 編碼，而且其中還有 Windows 版本的樣本。

經過深入分析，我們把此變種命名為 RedGoBot_v2，該 Botnet家族近期傳播趨勢如下：

樣本功能更新

字符串加密

新版本 RedGoBot 的關鍵字符串都存在Base64編碼，運行時會在使用字符串前通過函數將字符串解碼：

Init 函數

通過 Go 語言的 init 函數初始化批量解密樣本 Kill 函數中所需的白名單目錄或文件名字符串，與舊版本相同樣本會嘗試殺死"可疑競爭對手"的進程：

持久化

舊版本 RedGoBot 會創建一個惡意服務實現持久化，服務詳情如下

而新版本使用了四種不同的方法實現持久化：

• 通過創建服務：

• 通過修改 bashrc 文件，在當前用戶主目錄的 .bashrc 文件末尾添加惡意代碼：

• 通過創建 init 文件夾的 conf 文件：

• 通過利用 crontab 命令：

單例運行

通過監聽端口確保單個實例，對應端口為32183：

傳播方式

新版本除了保持了舊版本中類似 Gafgyt 家族的 Telnet 暴破傳播機制，還加入了 SSH 暴破方法。其中 Telnet 服務針對的端口有 7 個，分別是 23/2323/80/5523/2601/2002/1025：

并為 Telnet 服務暴破準備了 219 組弱口令：

對于 SSH 服務的暴破，針對的 SSH 服務端口有 5 個，分別是 22/2222/8888/8443/443

并為 SSH 服務暴破準備了 67 組弱口令

一旦暴破 SSH 或者 Telnet 服務成功，失陷主機中將執行下面的惡意命令：

DDoS攻擊

新版本 RedGoBot 中 DDoS 攻擊方法依然基于 Golang Interface 實現，并且作者新包裝了一個名為main_getAttack() 的攻擊函數：

并且此次發現的版本相較于舊版本添加了多個DDoS攻擊方法，新加入的方法如下：

NameDescriptionHttpCache_SendHTTP Flood (Cache)HttpHead_SendHTTP Flood (Head)IPIP_SendIP DDoSOVHBypass_SendOVH DDoSSsh_SendSSH DDoS

總結

RedGoBot 在發現之初已經是一個較為完善的僵尸網絡家族，而作者時隔半年又開始對其樣本進行了改善，同時與之前類似，該作者并未急著開始大規模傳播，而是在完成新版本的樣本后進行了一次擴散，之后恢復平靜：

下面為 RedGoBot_v2 版本的另一C2服務器地址的近期傳播趨勢，可以發現作者最近幾天正在進行傳播測試：

通過此次分析及之前我們對 RedGoBot 僵尸網絡相關披露可以得出以下結論：

• 該團伙對于僵尸網絡的編寫及運營極為熟練；
• 該團伙除了RedGoBot外還擁有其他多個僵尸網絡，包括RedSocksBot、Mirai等；
• 該團伙對Windows平臺同樣下發過后門木馬文件，不限于攻擊Linux平臺散布僵尸網絡樣本，但 Windows 平臺樣本的蠕蟲傳播能力還是針對 Linux 平臺的 Telnet 和 SSH 服務。

IOCs

RedGoBot_v2 C2:

wq[.]gy

alternatevm[.]us

194.55.224[.]36:6002

Mirai C2:

cnc.wq[.]gy

cnc.hpyq[.]cc

cnc.biggieboat[.]cc

Download URL:

hxxp://185.224.128[.]141/linux/bins.sh

hxxp://194.180.49[.]171/linux/bins.sh

MD5:

dcecb4260d05460f75efbc8411f85bec

d7025e72a344bffa7475d7145ff60142

21f6c6644eef92015f88ac1105225408

ff2b13413318142ccb8843299e946fc6

39e70806b717bfc670682bb2b5f6d4a6

3588e0aca3d154b080f46420844bb895

b9fea51c6612715d37020c28ba2d10ce

c3869061a13948549261153e4bb8e93a

ac472c260ad65cdd6babfd2ea13a1d96

c5c2d5b4d4a426ea03be2d41c2498732

886bc578a55604a99e2e9a1903b9af7a

ec5ce68f2354acd0fb538347f098cc05

7c3d7aeb50a4619628428626b85782b5

efec7a2bd92e111716580d79614cda64

31fe0e51626ca2cc7ef520c774748d7a

73a1daf7fbe4ab671d621110c4ed4b02

b79fcc89b74ce2dd12b55c3f36c0ddcf

bf2a4ca1b03dc35fcc4595ad3f03a4d2

ba9da2db798a9d0d2cb116d84ece3df2

e188aacfedf07e6ed629dcaf46eadb97

a5ce1f5b5db5e7574b30379ca26d1551

eb575f965d662a93eaf17999e869b227

c0e9817868eed90cd7a97f9147cde5d6

fbef20c6ec117784243dda663f2889ba

f309c9a475969a731578474527fadfcb

b8956fffc8b12b4effc0d528c77a5b77

75b0ca83968e353d1c823b1e77f9d187