僵尸网络Sathurbot分析报告

近日,安天追影小组在整理网络安全事件时,发现一种针对WordPress安装程序的威胁,攻击者可通过僵尸网络对WordPress账户进行爆破,并利用已入侵的网站进行其他恶意代码的传播。据推测,Sathurbot僵尸网络从2016年6月起就一直处于活跃状态,迄今已感染超过20,000台计算机。

分析介绍:

该僵尸网络的后门木马使用种子作为传播媒介,被入侵的网站被用于托管一些伪造的电影、软件种子,当用户在网络上搜索资源时,会搜索到这些含有可执行文件的恶意链接,若用户点击该链接,用户主机将会自动加载Sathurbot DLL,从而使得攻击者掌握用户主机的控制权,用户主机沦为Sathurbot僵尸网络的肉鸡。

安天追影团队的分析人员对Sathurbot DLL中的某一样本(MD5:887ed78adccd02427b9d5965a929cdd0)进行了简要的分析。

当Sathurbot样本启动后,样本会通过查询DNS来检索它的C&C服务器,DNS服务器会反馈一个DNS TXT记录,TXT中包含的十六进制字符串解密后用作C&C域名,样本可以上传文件至C&C服务器,也可下载并执行其他文件,在此类可执行文件中发现了Boaxxe、Kovter和Fleercivet等家族的变种。随后,Sathuurbot样本向C&C服务器报告安装成功以及自身的监听端口,并定期向C&C服务器报告运行状态,等待C&C服务器下达其他指令。

Sathuurbot僵尸网络主要以WordPress为目标,C&C服务器上包含一份域名访问凭证列表(格式:“用户名:密码@域名”)。为避免访问行为被拦截,每个受感染主机在同一站点采用不同的用户名密码进行尝试,每个受感染主机在每个网站上只尝试一次,然后转至下一个网站。此外,除了攻击WordPress,攻击者还针对其他网站进行攻击,如Drupal、Joomla、PHP-NUKE、phpFox 与 DEdeCMS 框架网站等。受感染主机还可通过集成libtorrent库来实现恶意软件传播,但并非所有的受感染主机都可执行此功能,其中一部分用作Web爬虫或网站爆破。

总结:

安天追影团队提醒广大网络用户,在搜索互联网资源时,一定要小心谨慎,提升自身安全意识,避免访问可疑的链接,避免下载未知的可执行文件,另外,对于操作系统及软件,及时更新,避免给恶意软件可乘之机。

MD5:

887ed78adccd02427b9d5965a929cdd0

参考链接:

https://www.welivesecurity.com/2017/04/06/sathurbot-distributed-wordpress-password-attack/