P2P僵尸网络-家族类别

news2024/12/24 9:06:42

Pink

Pink 家族曾在中国境内感染了超过百万级的设备,其非实效性指令通过 P2P 传递,实效性强的指令通过集中控制的方式发布。是一个设计巧妙的 P2P 僵尸网络家族

Pink 僵尸网络概述

Pink 主要针对基于 mips 的光纤路由器,并且具有非常强大的和强大的架构,它使用第三方服务、P2P 和中央 C2 的组合,用于其机器人到控制器的通信,并具有完整的 C2 通信验证,这样做可以确保机器人节点不会被轻易切断或拿走over Pink 与供应商赛跑以保持对受感染设备的控制,而供应商反复尝试修复问题,bot master 也实时注意到供应商的动作,并相应地对光纤路由器进行了多次固件更新。Pink采用的DNS-Over-HTTPS协议,同样不典型。

Pink 是一种混合架构僵尸网络,它使用“P2P”和中央“C2”与其机器人进行通信。一般来说,它通过 P2P 传递时间敏感度较低的命令(例如管理配置信息),而分发时间敏感度较高的命令集中通过 C2(例如发起 ddos​​ 攻击,将广告插入用户访问的 HTTP 网站)。

Hajime 

Hajime 的出现时间与 MIRAI 同年,前后差不到几个月,其提示信息中一直声称是由“白帽子”运营的。Hajime 的各组件功能也以自传播为主要目标。其组件间的通讯及管理,大量使用了非对称加解密算法的特性,是一个极为经典的 P2P 僵尸网络家族。

Hajime概述

与 MIRAI 的张扬不同,Hajime是一个低调神秘的Botnet,在诞生后的这一年中并没有给公众传递太多的恐慌。MIRAI在明,Hajime在暗,两者相得益彰。

Hajime的核心特点在于:它是一个P2P botnet,安全人员无法通过黑名单的方式直接堵死 Hajime 的指令传输渠道,达到遏制的目的。所以,其一旦广泛传播开便极难彻底清除。

Hajime每过10分钟会从P2P网络中同步一次config文件,并将该文件的info字段(如上图所示)展示到控制台,意图自证清白。其info字段大意为:别慌,Hajime是一个由白帽子运营的僵尸网络,是来保护IoT设备的。 

Mozi 

Mozi 起初是一个以 DDoS攻击 为获益目标的P2P家族,后来还增加了挖矿获益的部分。其网络拓扑是以 DHT 协议为基础,构建起来的。

Mozi概述 

墨子僵尸网络依托DHT协议构建P2P网络,使用ECDSA384和异或算法保证其组件和P2P网络的完整性和安全性。该样本通过带有弱密码和一些已知漏洞的 Telnet 传播。

墨子僵尸网络依托DHT协议构建P2P网络,使用ECDSA384和异或算法保证其组件和P2P网络的完整性和安全性。该样本通过使用弱密码和一些已知漏洞的 Telnet 进行传播。在功能上,墨子僵尸网络中各节点指令的执行是由Botnet Master下发的名为Config的Payload来驱动的。主要指令包括:

  1. DDoS 攻击
  2. 收集机器人信息
  3. 执行指定URL的payload
  4. 从指定的 URL 更新示例
  5. 执行系统或自定义命令

FritzFrog 

FritzFrog 是一个以挖矿为获益目标的 P2P 家族,其依托于 SSH服务构建起 P2P网络。由 akamai 最先披露。更多详细资料可参考下面的报告(有趣的是,它的收益钱包地址和 Mozi 有关)

FritzFrog概述 

FritzFrog 是一个点对点僵尸网络,这意味着它的命令和控制服务器不限于单个集中式机器,而是可以从其分布式网络中的每台机器上完成。换句话说,每台运行恶意软件进程的主机都成为网络的一部分,并且能够发送、接收和执行命令来控制网络中的机器。

FritzFrog 通过 SSH 传播。一旦它使用简单(但具有攻击性)的暴力破解技术找到服务器的凭据,它就会与新受害者建立 SSH 会话并将恶意软件可执行文件投放到主机上。然后恶意软件开始监听并等待命令。这些命令包括交换目标、共享受感染机器的详细信息、传输文件以及运行脚本和二进制负载。

FritzFrog被认为 是“下一代”僵尸网络,因为它具有多种特性,使其在威胁领域独树一帜:

  • 不断更新——目标和被破坏机器的数据库无缝交换

  • 激进——蛮力基于广泛的字典;相比之下,最近发现的另一个 P2P 僵尸网络 DDG 只使用用户名“root”

  • 高效——目标在节点之间均匀分布

  • 专有——P2P 协议是完全专有的,不依赖于 μTP 等已知的 P2P 协议

Panchan 

Panchan 是一个 Go 语言开发的 P2P 僵尸网络,以挖矿为获益手段,利用 SSH 弱口令为传播途径。其代码中包含大量 日文片假名,这表明 Panchan 的开发者可以熟练使用日文。另一个有趣的点在于:它在监听端口上,利用协议复用的思路实现了一个交互控制台,允许管理员从网络上对节点进行一些简单的查询和管理工作。更多详细信息可参考如下报告:

 Panchan 概述

Panchan 的挖矿设备是一个功能丰富的 Golang 僵尸网络和 cryptojacker。它的点对点协议很简单——TCP 上的明文,但它足以分散僵尸网络。又能坚忍不拔,能监视躲避。

 

植入恶意软件的是一个“godmode”——一个能够编辑挖矿配置的管理面板,然后将其分散到其他同行。为防止不必要的篡改,需要私钥才能访问 godmode,然后使用该私钥对挖矿配置进行签名。该恶意软件包含一个公钥,用于验证提供的私钥。管理面板是用日语写的,暗示了创建者的地理位置

僵尸网络通过获取 SSH 密钥引入了一种独特的(并且可能是新颖的)横向移动方法。该恶意软件不像大多数僵尸网络那样仅对随机 IP 地址使用暴力或字典攻击,它还读取id_rsa 和 known_hosts文件以获取现有凭据并使用它们在网络中横向移动。

该恶意软件是用 Golang 编写的,并将 Golang 的并发特性用于大部分主要逻辑——通过将它们作为并发 Go 例程运行。威胁行为者在新的 Go 版本之上——最早检测到的恶意软件版本(从 2022 年 3 月开始)是使用 Go 1.17.7(2022 年 2 月发布)编译的,而最新的样本是使用 Go 1.18(2022 年 3 月发布)编译的。此外,Go 1.18 对其内部数据结构进行了一些更改,因此无论是在线工具还是 IDA 反汇编程序都无法正确解析恶意软件并将函数名称与函数指针进行匹配。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/157748.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

如何使用人力资源软件识别保留优秀员工

在企业信息化的时代,越来越多的年轻员工开始追求他们的激情,辞掉那些乏味的工作,而选择加入重视员工生活质量的企业。他们不再追随那些以牺牲员工福利为代价追求利润的公司。 员工认可度有助于加强组织中的团队合作关系,反过来&a…

VS 17.5 预览版2:/Gw链接开关的标准一致性改进

/Gw 链接开关可以告诉链接器优化代码中的全局数据,从而减小最终生成的二进制文件的大小。在 Visual Studio 17.5 预览版2中,我们新增了一个新的标志:/Zc:checkGwOdr[-] ,目的是在使用 /Gw 开关的时候改进对 C 标准的一致性支持。 …

表情包也能用 AI 生成?如何借助 AIGC 自定义专属表情包 #Memix

随着我们越来越离不开社交媒体,表情包也已经成为我们日常生活中的必备单品。有着个人鲜明风格的「表情包」,不仅是独特的「社交名片」,也能给人留下耳目一新的印象!谁的收藏夹里没有一堆私藏表情包呢!Memix借助 AI 技术…

画中画怎么制作?教你如何录制画中画视频,图文教学

很多小伙伴在录制视频的时候,都需要录制摄像头,以画中画的方式放置在视频当中。在网上眼花缭乱的录屏软件里,有不少的录屏软件是无法做到画中画视频的。画中画怎么制作?今天小编分享2个录制画中画视频的方法,一起来看看…

实心球状CdSe/ZnS/硫量子点QD-AFP-Ab/CPV VLP标记抗体/蛋白的制备方法与电镜表征

实心球状CdSe/ZnS/硫量子点QD-AFP-Ab/CPV VLP标记抗体/蛋白的制备方法与电镜表征 今天小编分享量子点标记蛋白,一起看看吧: 量子点标记蛋白的制备过程: 将纯化后的 CPV-VP2蛋白溶液(测定OD2802.0,蛋白浓度为2mg/ml)和…

CTK Plugin Framework插件框架学习--CTK服务工厂

一、前言 注册服务的时候能够用服务工厂来注册; 访问服务getServeice中的plugin参数是执行ctkPluginContext::getService(const ctkServiceReference&)的插件,从而工厂根据执行的不同插件名称返回不同的服务实现 服务工厂的作用 在服务中可以知道…

华为NAT实验配置

路由器基础配置 AR2 int g0/0/3 ip add 192.168.10.254 24 int g0/0/2 ip add 192.168.20.254 24 int g4/0/0 ip add 192.168.30.254 24 int g0/0/1 ip add 10.0.23.2 24 int g0/0/0 ip add 10.0.12.2 24 ip route-static 192.168.11.0 24 10.0.12.1 ip route-static 192.168.2…

2022年中国数据库排行榜年终盘点-墨天轮

深山虎啸雄风在,绿野兔奔好景来。 崭新的2023年已经到来,在2022年里,国产数据库行业发生了翻天覆地的变化,投融资此起彼伏,国产化替代进程加速,国产数据库行业发展的如火如荼。墨天轮12期中国数据库排行榜解…

Python验证中心极限定理

中心极限定理 中心极限定理提出了:无论总体服从什么分布,只要n充分大,那么样本均值分布就接近正态分布。 样本的数量越大,取样次数越多,样本平均值的分布也就越接近于一条正态分布曲线。普遍的经验是,样本…

redis 5种数据结构适用场景

网上介绍太笼统了,呕心沥血整理出来的可理解的适用场景,查看下图redis-cli指令大全:点击查看redis指令Redis支持5种数据类型:string(字符串)hash(哈希)list(列表&#xf…

飞行类手册国际标准简介

在业界有这个说法:三流的企业卖产品,二流的企业卖技术,一流的企业卖标准。一流企业是行业的标杆,行业的制定者。现在标准已经成为最重要的行业发展因素,谁的产品标准一旦为世界所认同,谁就会引领整个产业的…

指针进阶(C语言)

目录 字符指针 使用方法: 1、指向字符 2、指向字符串的首地址 指针数组 数组指针 数组指针的定义 数组名表示的含义 数组指针的使用 数组参数、指针参数 一位数组传参 二维数组传参 一级指针传参 二级指针传参 函数指针 函数指针数组 指向函数指针数组的指针 回调函…

网站让百度收录的技巧有哪些?网站在百度收录情况怎么查询

同样都是新上线的站点,为什么有的人是秒收,有的人可能要等很多时间才能收录,其实这些都是有技巧加快百度收录我们网站的。网站让百度收录的技巧有哪些?1、上线之前做好网站内容 我们在上线之前一定要做好充足的准备,这…

浏览器控制台接口学习

我们在做项目开发时,想知道一个功能调用了后台哪个接口,我们就可以在浏览器控制台中进行查看。 举一个例子,我们在看博客时,发现这一篇文章写的不错,我们在做点赞这个动作时,调用了哪个接口呢? …

linux 内存恒等映射

目录 arm64内存管理 恒等映射 页表定义,采用4级分页模型 创建页表 内存属性 从进程角度看,需要内存的地方 1、进程本身,代码段、数据段用来存储程序本身需要的数据 2、栈空间:用来保存函数调用关系、局部变量、函数参数、函…

在centos系统上安装mongodb数据库

在centos系统上安装mongodb数据库 本文章基于centos8系统; 如何查看当前系统是centos的那个版本 终端输入命令 cat /etc/redhat-release 开始安装官网当前的数据库版本6.0; 查看官方文档 创建 mongodb yum 源头,写入基本信息 vim /etc/yum.repos.d/mongodb-org-6.0.repo [mon…

手把手教你如何创建和美化图表,老板直接给我升职!

一图胜千言。说到图表,想必很多人都被网上酷炫的图表震惊过。比如下面这样的可视化图表,看起来,很高大上有没有。但是,拆解开来,就是由一个个基础图表演变而来的。所以可不要小瞧了基础图表的制作。今天我就教你如何用…

使用ORM方式查询Mongodb里的数据,再也不用记Mongodb的语法(ORM Bee)

使用ORM方式查询Mongodb里的数据,再也不用记Mongodb的语法(ORM Bee)Mongodb的语法可读性差,要写复杂查询,要求技术能力高;Java驱动,还要使用另一种语法;学习成本太高了。可以使用ORM方式,轻松搞…

【redis6】第三章(五大常用数据类型)

redis命令列表&#xff1a;http://www.redis.cn/commands.html Redis键 set < key >< value >添加键值对 [rootlocalhost ~]# cd /usr/local/bin [rootlocalhost bin]# redis-server /etc/redis.conf [rootlocalhost bin]# redis-cli 127.0.0.1:6379> set k1 a…

电脑怎么恢复出厂设置?Win10系统恢复出厂设置的方法

电脑经常出现报错的情况&#xff0c;而且还有运行缓慢、卡顿的问题&#xff0c;这代表你的电脑可能出现了老化。想要恢复正常&#xff0c;你可以选择把电脑恢复到出厂设置&#xff0c;从而恢复到原始状态。电脑怎么恢复出厂设置&#xff1f;下面以Win10系统电脑为例&#xff0c…