Alex.Turing

Background Our honeypot system captured a new DDoS botnet sample on 2019-06-23. We named it Emptiness which comes from the running process name as well as its C2 domain. Emptiness is written by

背景 2019年06月23日我们捕获了一个全新的DDoS僵尸网络样本，因其启动时设置的进程名以及C2中有emptiness字样，所以我们将其命名为Emptiness。Emptiness由golang编写，当前发现的样本包括Windows和Linux两种平台版本。在溯源过程中，我们发现其作者长期维护着一个mirai变种僵尸网络，早期的Emptiness自身没有传播能力只有DDoS功能，是由mirai loader来完成样本植入的，后期的版本增加了ssh扫描功能，可独立完成Emptiness自身样本的传播。我们还注意到其不断修改mirai变种和Emptiness的CC协议，也许是为了对抗安全研究人员跟踪其僵尸网络攻击行为。 Emptiness的那些事 我们猜测其最早出现时间应该是2019年06月09日，遗憾的是当时我们并没有成功下载到http:[//blogentry.hopto.org/emptiness相关的样本。下图是我们捕获这个URL的时间， 2019-06-23日我们首次捕获到该僵尸网络样本v1版本 2019-06-26日我们首次捕获到该僵尸网络样本v1.1版本 2019-07-03日我们曝光了其DDoS攻击行为 2019-07-06作者更新v2版本样本，并在样本中留下了一匹"羊驼"。表示想要和我们强行发生关系。