01
背景介绍
随着网络中安全环境逐步的完善,往往攻击者使用的网络资产在极短的时间就会受到各类安全设备以及安全运维人员的围追堵截。攻击者不仅完不成预计指标甚至还要频繁遭受跟换网络资产的损失。所以近几年使用DDR(Deep Drop Resolver)的方式越来越受到欢迎。如以telegramBot,github的方式来完成信息上传和组件下发以及更新的方式也被频繁使用于apt的攻击活动中(如saaiwc、drakpink、摩诃草等),代替以往攻击组件中uploader、downloader的职责,用于规避安全设备对于网络资产的拦截。
本次山石网科情报中心捕获到一批活跃于越南地区的僵尸网络样本,他们自称自己为“Gaper Botnet“,在某通讯软件上以59$/1月的价格向外兜售病毒软件和黑客服务。在这些样本中同样使用了github+telegramBot的方式来规避安全设备审查。
02
样本分析
03
测试样本
04
Server组件
登录验证成功后根据用户选择,将指定文件变更为 指定格式.scr,并推荐用户使用软件Resource Hacker修改文件图标资源,以达到文件更好的隐蔽效果。
05
IOC
MD5:
38d772e660ecb2999b552695af84dfda
95c9e07d1e4747b63541b117ba1eac8a
341b7fd302c77d7431d89eedbc53ded0
6841f8f3e0ec5246e0ca45154a8807e2
83c35eb33524b815c37a4156810cc485
f138837953d012a785daea3a49c937f3
be66ec4f8c28e943eb969eb3b350db9e
315f5afee0edfa706044764e28f980b4
Url:
https://severnew1[.]fun/file.exe
https://thisinhthanhlich.edu[.]vn/cor/11.exe
TelegramBot Toekn:
bot6681894385:AAFWqY1zbS2llFtcV_7uojkr6f9JchJI5yQ
bot6203037714:AAFqqfaKcZUR7CoYiyymVTztFfocBWxqaL8
06
处置建议
可使用山石网科防火墙和NIPS产品的C2和AV防护模块来防范该风险,请确保将特征库升级至截止20230830的最新版本。山石网科防火墙与态势感知云景可以有效地预警并拦截与APT组织相关的威胁情报(IOC)和恶意行为。
07
关于山石网科情报中心
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。
山石云瞻威胁情报中心:
https://ti.hillstonenet.com.cn/
原文始发于微信公众号(山石网科安全技术研究院):近期越南地区GaperBotnet僵尸网络分析
