關于新型 P2P 僵尸網絡 PBot 的分析報告

本報告由國家互聯網應急中心（CNCERT）與北京奇虎科技有限公司（360）共同發布。

一、概述

CNCERT監測發現從2020年以來P2P僵尸網絡異常活躍，如Mozi、Pinkbot等P2P僵尸網絡家族在2020年均異常活躍，感染規模大、追溯源頭難且難以治理，給網絡空間帶來較大威脅。

2021年5月31日，CNCERT和360捕獲到一個全新的使用自定義P2P協議的僵尸網絡，其主要功能為DDoS。（當前很多殺毒引擎將其識別為Mirai或Gafgyt家族，我們將之命名PBot）。

二、相關樣本分析

（一）僵尸網絡組織結構

Pbot最獨特的地方在于它實現了P2P網絡通信，基于對Bot樣本和控制端的逆向分析，它的簡化網絡結構如下所示：

事實上Pbot的功能比較簡單，執行時首先會在Console輸出[main] bot deployedrn字樣，然后通過綁定本地端口實現單一實例，接著通過算法解密出BootNode、身份認證KEY等敏感的資源信息，最后通過BootNode節點加入到P2P網絡中，等待執行ControlNode下發的指令，主要有指令中DDoS攻擊，開啟telnet掃描傳播等。其中支持的DDoS攻擊方法如下所示：

（1）attacks_vector_game_killer：UDP DDos攻擊，連續發送768個隨機字串；

（2）attacks_vector_nfo_v6：使用特定Payload對nfo務器發起TCP DDoS攻擊；

（3）attacks_vector_plainudp：UDP DDos攻擊，連續發送511個隨機字串UDP包500次；

（4）attacks_vector_plaintcp：TCP DDoS攻擊，連續發送511個隨機字串TCP包2500次；

（5）attacks_vector_l7_ghp：HTTP DDoS攻擊，連續發送HTTP數據包500次。

（6）attacks_vector_ovh_l7： 使用特定Payload對OVH服務器發起HTTP DDoS攻擊。

    BootNode，是一個超級節點，除了與各Bot相同的p2p通信功能之外，還具有以下功能：

（1）統計各Peer信息（Peer會向它注冊，上傳自身信息）；

（2）協助各Peer間尋找對方，BootNode保存了大量的P2P Peers列表，Bot向其注冊后，可以請求一部分節點信息分享給Bot；

（3）承載樣本，惡意shell腳本的下載服務。

而ControlNode，則是管理節點，主要功能為向節點發送具體的指令，如DDoS攻擊，開啟掃描等。

（二）傳播方式

該家族樣本主要通過SSH/Telnet弱口令以及一些NDay漏洞傳播。相關NDay漏洞如下：

（三）感染規模

通過監測分析發現，該僵尸網絡日均活躍Bot數在一千臺以上。

三、相關IOC

樣本MD5：

0e86f26659eb6a32a09e82e42ee5d720
3155dd24f5377de6f43ff06981a6bbf2
3255a45b2ebe187c429fd088508db6b0
3484b80b33ee8d53336090d91ad31a6b
769bc673d858b063265d331ed226464f
8de9de4e14117e3ce4dfa60dacd673ef
9cb73e83b48062432871539b3f625a21
d209fe7d62f517de8b1cf1a5697e67c2
e84a59bb18afff664e887744d8afebd0

下載鏈接：

http://205.185.126.254/bins/controller.x86
http://205.185.126.254/bins/exxsdee.arm7
http://205.185.126.254/bins/exxsdee.i586
http://205.185.126.254/ssh.sh
http://205.185.126.254:80/bins/crsfi.arm
http://205.185.126.254:80/bins/exxsdee.arm
http://205.185.126.254/korpze_jaws.sh
http://205.185.126.254/korpze.sh
http://205.185.126.254/sv.sh
http://205.185.126.254/korpze_jaws.sh
http://205.185.126.254///exxsdee.mpsl
http://monke.tw/armz.sh
http://monke.tw/u

附件：關于新型P2P僵尸網絡PBot的分析報告