版权 版权声明：本文为Netlab原创，依据 CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。 概述 从2021年2月28日起，360网络安全研究院的BotMon系统检测到IP(107.189.30.190)在持续传播一批未知ELF样本。经分析，我们确认这些样本隶属于一个新的botnet家族，结合其运行特点，我们将其命名为ZHtrap，本文对其做一分析，文章要点如下： 1. ZHtrap的传播使用了4个Nday漏洞，主要功能依然是DDoS和扫描，同时集成了一些后门功能。 2. Zhtrap能将被感染设备蜜罐化，目的是提高扫描效率。 3. Zhtrap感染受害主机后会禁止运行新的命令，以此实现彻底控制和独占该设备。 4. 在C2通信上，ZHtrap借鉴了套娃，采用了Tor和云端配置。 ZHtrap全情介绍 ZHtrap的代码由Mirai修改而来，支持x86, ARM, MIPS等主流CPU架构。但相对Mirai，ZHtrap变化较大，体现在如下方面： * 在指令方面，加入了校验机制 * 在扫描传播方面，增加了对真实设备和蜜