又一个 Golang 编辑的僵尸网络 KmsdBot

发布时间：2023-10-04 11:26:43 所属栏目：安全来源：

导读：Akamai 最近通过全球部署的蜜罐，发现了一个为游戏行业量身定制的具有 DDoS 能力与加密货币挖掘能力的僵尸网络 KmsdBot。发现 KmsdBot攻击者利用 FTP 下载所需的恶意样本，FTP 服务器上还有很多其他样本。从目录上看

Akamai 最近通过全球部署的蜜罐，发现了一个为游戏行业量身定制的具有 DDoS 能力与加密货币挖掘能力的僵尸网络 KmsdBot。

发现 KmsdBot

攻击者利用 FTP 下载所需的恶意样本，FTP 服务器上还有很多其他样本。

从目录上看恶意软件支持各种 CPU 架构，但其实有些包含二进制文件，有些是空目录。攻击者可能在陆续扩展所支持的架构，扩大攻击目标范围。

download.php 脚本中包含恶意代码，用于在 Web 服务器上下载恶意软件。

部分架构（如 x86_64 和 386）下有恶意样本能够下载，如下所示：

大小相似的二进制文件似乎是同一恶意软件代码的修改版

这些样本都是 Go 开发的二进制文件：

client: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, Go BuildID=ob_PyXeD8H4173aDP-NM/Z7DzwyNXZ8c1Wr7LyTOK/t8bg8nky3tdpKdKSAvyp/_nWexL6rk1sZt5hRLfgs, with debug_info, not stripped

ksmdm: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, Go BuildID=lmjZVXbGVxjEutEAYziK/ak2EoKWzPPmCz2ipOltK/uKypKwO7m2jjT2AT0qnG/PiKIqd334XYNEl_likc3, with debug_info, not stripped

ksmds: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, Go BuildID=CV7cqV3r6hVM05Ma2jpB/kc_FWOhPv8HtKZQUhiUi/jrGTR9lhjVWxp-9kHdDA/ev1S8rMmqqwjpvWz4sLX, with debug_info, not stripped

ksmdx: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, Go BuildID=S65yXt0R7hEC1YEm5Ci7/qGG-jP6bpvA1TCgQwZoV/WpM491XNek0FReOrQmX_/EMNmhh6mJI8ycZhLPtP4, with debug_info, not stripped

kxmd: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, Go BuildID=57pm413aVTQ8gOrUjHox/DwlgdSzYxLxitlBpe0OR/hdbtJaHv8ujFruku5AIJ/RrSUbVKsJ9wj-rBopzh3, with debug_info, not stripped

kzmd: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, Go BuildID=2FTLNIjq7bgMnSOW0NhD/YBc64Ubft703RycI5yQL/85YkVXL_eseyGJG3XHm1/M_laLRa5tNb5oeZ24ROq, with debug_info, not stripped

这些二进制文件的包名称都是 /root/client，这意味着它们可能都是相同的恶意软件，只是版本不同。他们中有一个文件能够完成 C&C 通信、软件更新与加密货币挖掘，另一个文件可以进行攻击。

$ diff client.source ksmdm.source

19,23c19,23

< start Lines: 12 to 28 (16)

< startfunc1 Lines: 19 to 30 (11)

< startfunc2 Lines: 22 to 22 (0)

< udpclimb Lines: 30 to 60 (30)

< tcpclimb Lines: 60 to 88 (28)

start Lines: 10 to 26 (16)

startfunc1 Lines: 17 to 28 (11)

startfunc2 Lines: 20 to 20 (0)

udpclimb Lines: 28 to 58 (30)

tcpclimb Lines: 58 to 86 (28)

恶意软件的攻击目标是一家名为 FiveM 的游戏公司，支持用户为 Grand Theft Auto Online 部署自定义私服。下图为样本打开 UDP 套接字后，使用 FiveM Token 构建数据包，浪费服务器资源。

ksmdx 样本中包含扫描、更新与挖矿的功能：

Package main: /root/client

File: client.go

(*Client)Recv Lines: 23 to 34 (11)

(*Client)Handle Lines: 34 to 52 (18)

(*Client).Handlefunc1 Lines: 35 to 35 (0)

File: command.go

NewCommand Lines: 15 to 32 (17)

(*Command)Handle Lines: 32 to 62 (30)

File: commandfunctions.go

ShellExec Lines: 11 to 23 (12)

scan Lines: 23 to 50 (27)

stopscan Lines: 50 to 69 (19)

updateminer Lines: 69 to 108 (39)

stopmine Lines: 108 to 127 (19)

updateclient Lines: 127 to 159 (32)

File: main.go

main Lines: 8 to 16 (8)

File: methods.go

start Lines: 12 to 28 (16)

startfunc1 Lines: 19 to 30 (11)

startfunc2 Lines: 22 to 22 (0)

udpclimb Lines: 30 to 60 (30)

tcpclimb Lines: 60 to 88 (28)

File: utils.go

randomwallet Lines: 73 to 79 (6)

envname Lines: 79 to 129 (50)

ksmdx 会向 C&C 服务器发送 Bruh Started:的 HTTP POST 请求，以此进行失陷主机上线。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!