攻防演練在即，新型僵尸網絡家族Boat和Boota同時迅速傳播

一

背景

伏影實驗室全球威脅狩獵系統在2022年6月15日-16日捕獲到兩個新的僵尸網絡家族，我們將這兩個新僵尸網絡家族命名為Boota和Boat，這兩個家族使用獨立的C2地址，且無關聯。

根據狩獵發現：

2022年6月15日檢測到Boota家族，2022年6月16日投遞Boota的下載地址已經切換。

2022年6月16日檢測到Boat家族，在16日下午晚些時候，Boat家族的下載地址也已切換。

伏影實驗室僵尸網絡追蹤系統仍然能夠追蹤到C2的活躍流量，攻擊者并未切換C2。這兩個新僵尸網絡家族除下發了弱口令掃描攻擊的指令外，無其他攻擊活動，我們認為攻擊者的僵尸網絡仍然在構建過程中。

二

Boota家族

Boota家族具有與Gafgyt相似的通信代碼結構，但Boota家族使用了完全不同的通信命令和程序框架。目前Boota具有x86、arm、mips、Motorola 68020、Renesas SH、SPARC平臺版本。

Boota具有以下功能：

• 信息搜集
• DDoS攻擊
• 弱口令掃描
• Shell命令執行
• 自銷毀

2.1.1 攻擊活動

A.上線

Bot端運行后通過拼接botnet字符串，進程運行時的參數以及一個socket句柄值，完成上線信息的構建，發送到主機端，C2并不會校驗并回復bot的上線消息。

B.攻擊命令

Bot端能夠接收的命令如下表：

C.弱口令掃描攻擊

攻擊者以明文的形式將弱口令對內置在樣本中，弱口令對在Miori等家族中也曾出現，攻擊者并未增加新的弱口令對。

目前，C2僅下發了掃描指令和心跳指令：

三

Boat家族

Boat家族是一個融合了開源僵尸網絡DDoS攻擊源代碼的新僵尸網絡家族，具有全新的通信流程和C2交互邏輯。目前Boat具有x86、x64、arm、mips平臺版本。

Boat家族具有以下功能：

• 信息搜集
• DDoS攻擊
• 弱口令掃描
• 自刪除

3.1.1 攻擊活動

A.上線

Boat家族上線過程共有四輪。當bot端啟動時連接C2地址：172.245.186.189:5906，并發送長度約0x404長度的上線包，以00 03開始，以01 00結尾，中間全部填充為0。

C2在接收到bot端發來的消息后，會回復固定字符串daddyl33t。此時bot端會立刻回復0x404字節長度的回復包，以00 02開始，以01 00結尾，中間全部填充為0。

C2再次接收消息后，會回復固定字符串：

/tmp./root./data/local/tmp.mips.mpsl.mipsel.arm.x86.x86_64.x64.i586.i686.i386.i486

此時bot端會再次回復0x404字節長度的回復包，以00 01開始，以01 00結尾，中間全部填充為0。

完成上述交互后，C2端會下發弱口令集，bot端接收后，會再次回復0x404字節長度的回復包，以00 00開始，以01 00結尾，中間全部填充為0。

C2接收到該消息后，回復IMEXECUTED0xff完成此次交互過程。

B.攻擊命令

攻擊者設計了多種攻擊指令：

四

總結

攻擊者借鑒開源代碼創建新僵尸網絡家族，開發成本低，且容易被歸類到開源僵尸網絡家族中，這一方法有效的降低了攻擊成本，并隱藏了新家族特征。在出現新漏洞時，經過簡單的修改或加殼即可大規模進行傳播，防不勝防。

因此需要通過更為精細的僵尸網絡家族特征對捕獲到的惡意代碼進行檢測和識別，并持續追蹤其變化，才能夠在新漏洞披露時快速防御和處置。

附錄 IOC

Hash:

0bd4197fedbf6b3141427067f548d1acd65c5924f906ff3246602e8258e62b72

117d63cd098e29467fabf02345075a31c4cd735a18119e9206943f43e0e105ad

1233ae9e89ffb77b247aeb998e453a83bc96496aa171e0fde8322199f779cbc8

141ab6882632101808a6338e0a5cfd7b031cc2b3f6e152b700afd2653298bb5e

d4f9b424a1639bc3c46726e4f72c259bf6b9ca33af7377490b1bb292867603e7

A0FFF5A783E05DDC95A6951F3DD9E31E88CD2E0591605F0543D0F7186B83B11D

9a86408d4f16a39f61889f61713eecd68ff8e8a246df7f2a0d04c02a672d5fc9

e97f19050259ff7207e09241b55c98bebc8eb4ac3b94b1251beb07bb60e00061

9230ce12254f7a0960ec9c8add482c2db6ed7cf863439cab65390145586ad07e

9a86408d4f16a39f61889f61713eecd68ff8e8a246df7f2a0d04c02a672d5fc9

df5655ee4f33d8597fd9bd174042880cd3600a44b5dff69df996841d0c0db18e

aff3e8167b01998037b2eb04703d5c7007e3ac6d6ffb1de5a193b201a0802693

C2：

149.57.171.148

172.245.186.189