xorbot–一个检出率趋近于零的新型僵尸网络家族
💡
原文中文,约2800字,阅读约需7分钟。
📝
内容提要
绿盟科技发现了新型僵尸网络家族木马xorbot,具有强隐匿性和多种DDoS攻击方式。该木马通过多轮xor运算和加解密算法隐藏通信流量和关键信息,持久化和隐藏自身。与传统僵尸网络家族不同,xorbot被动等待回复并进行解密和交互。目前杀毒引擎对该木马的检出率较低。
🎯
关键要点
- 绿盟科技发现新型僵尸网络家族木马xorbot,具有强隐匿性和多种DDoS攻击方式。
- xorbot通过多轮xor运算和加解密算法隐藏通信流量和关键信息,持久化和隐藏自身。
- xorbot是从0开始构建的,采用全新架构,重视隐匿性,文件体积增加了30倍。
- xorbot的不同版本文件大小变化显著,最新版本接近1200KB。
- 木马使用libc库的函数实现通信,核心功能模块未变。
- xorbot使用借鉴Mirai源码的加解密算法,数据在发送前加密,接收后解密。
- xorbot通过添加crontab维持持久化,伪装文件名以隐藏自身。
- xorbot被动等待server端的回复,交互过程复杂,支持多种DDoS攻击方式。
- xorbot的设计使得通信流量隐匿性强,难以被监测和追踪。
- xorbot涵盖多种CPU架构,攻击者注重隐匿性,当前杀毒引擎检出率接近于0。
- 伏影实验室将持续监控xorbot及其控制者,研究目标包括多种网络威胁。
➡️
