P2P

潜伏者:Roboto Botnet 分析报告

背景介绍 2019年8月26号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(4cd7bcd0960a69500aa80f32762d72bc),目前在VirusTotal上显示仅有2款杀毒引擎检测识别。通过详细分析,我们确定这是一款基于P2P通信的Bot程序,并对它保持关注。 2019年10月11号,我们通过Anglerfish蜜罐捕获到另一个可疑的ELF样本(4b98096736e94693e2dc5a1361e1a720),并且正是那个可疑的ELF样本的Downloader。这个Downloader样本会从2个硬编码的HTTP链接中下载Bot程序,其中一个下载地址把这个Bot样本伪装成Google的一个字体库“roboto.ttc”,所以我们将这个Botnet命名为Roboto。 我们已经持续关注了Roboto Botnet近3个月的时间,并在本文披露它的一些技术特征。 Roboto Botnet概览 目前,我们捕获到了Roboto Botnet的Downloader和Bot模块。根据它的传播方式和Bot样本特征,我们推测它还存在漏洞扫描模块和P2P控制模块。 Roboto Botnet主要支持7种功能:反弹Shell,自卸载,获取进程网络信息,获取Bot信息,

  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
15 min read