压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Mylobot僵尸網絡是一個針對Windows操作系統的僵尸網絡家族，它曾使用內嵌大量Fake-DGA域名的方式來對抗傳統黑名單檢測技術，我們在2020年發布了一篇文章《Mylobot僵尸網絡依舊活躍，C2解密流程揭露》討論了內嵌域名的解密方法，并提供了進行批量解密的思路。而該團伙至今仍處于活躍狀態，我們對其運營的惡意軟件進行了一些梳理分析。

Mylobot僵尸網絡由Deepinstinct公司在2018年發現并命名，其文章里提到的主要是mylobot-proxy惡意軟件，mylobot-proxy主要功能是網絡代理。我們2020年的解密分析也是針對mylobot-proxy樣本的，而事實上，mylobot-proxy僅僅是Mylobot團伙運營的惡意軟件之一，其運營的主要惡意軟件還包括mylobot-core等。

Packer-Shellcode

Mylobot使用的所有惡意軟件都由Packer-Shellcode打包加載，其內置了加載Shellcode所需的WindowsAPI名稱哈希值，并通過這些哈希值獲取對應API地址。

其通過RC4解密全0數據，得到一串字節列表，使用字節列表作為 Key 逐字節與資源中的密文進行邏輯運算得到Shellcode與PE文件，Shellcode重新創建一個進程作為宿主進程，然后挖空進程并映射為解密出的這個PE文件。解密出的PE文件就是Packer-Shellcode的下一階段惡意軟件。

惡意軟件加殼無非就是為了規避直接被查殺，但是Mylobot團伙并沒有對其使用的Packer進行過更新，目前我們捕獲到的最新的Packer-Shellcode與2017年版本并沒有什么不同之處，其在VT的檢出率也是比較高的。

mylobot-proxy

mylobot-proxy將失陷機器變為一臺網絡代理機器節點，通過C2下發代理任務進行流量轉發，這個惡意軟件也是Mylobot團伙主要的盈利軟件。它也由Packer-Shellcode工具加載，但是其本身又由一個控制器Loader控制，這種層層套娃的加載形式可以概況為如下：

早期的mylobot-proxy內嵌了大量Fake-DGA名，而攻擊者僅會注冊部分域名作為真正的C2，此舉雖然可以一定程度上防止域名被置黑名單，但也會帶來另一個弊端，其他分析人員也可以選擇部分域名注冊，進而對僵尸網絡進行規模評估，甚至是接管僵尸網絡。在我們的視野中，2022年更新的mylobot-proxy就已不再使用Fake-DGA技術.

mylobot-proxy實際連接的域名為m<0-42>.格式，其中比較特殊的是m0子域名。在mylobot-proxy的指令處理部分，有兩個特權指令——7、8號指令，這兩條指令分別表示從后續載荷、指定URL下載執行新一階段的惡意軟件，這兩條指令主要用于更新mylobot-proxy軟件。我們目前捕獲到的mylobot-proxy的版本為2023年3月，通過其特殊的軟件更新機制，我們對其內置的3個域名的m0子域進行分析，暫未發現這些域名綁定過IP，這表明目前mylobot-proxy最新版本為2023年3月更新。

mylobot-proxy主要是用于提供代理功能，當僵尸網絡規模足夠后，攻擊者可以將這些資源產品化，化身為代理服務提供商。在今年上半年BitSight指出，Mylobot與bhproxies代理服務有關，我們通過相關分析，得到了與BitSight一致的結論，其關聯如下。

client.bhproxies.com是bhproies提供服務的域名之一，其兩條解析IP指向大量所屬Mylobot團伙資產的域名。而89.39.107.82是bhproxies服務商的代理服務提供節點之一，其更是與Mylobot團伙最新的C2域名m20.onthestage[.]ru的解析一致。

Mylobot團伙在2023年2月底對mylobot-proxy進行了一次C2的更新，統計最新的C2域名連接情況，每個獨立IP視為一個失陷機器，我們發現其規模呈現擴張趨勢，數據如下：

mylobot-core

Core由Packer-Shellcode模塊加載，在Mylobot團伙的攻擊鏈中主要充當下載器的作用，mylobot-proxy是Core主要分發的惡意軟件。Core同樣使用fake-dga域名，且目前最新版本中并未被移除。內嵌的域名使用AES加密，加密使用的Key在mylobot-proxy也出現過。其解密出大量域名端口對，與早期mylobot-proxy域名具有很高的相似性，隨后選擇這些域名的buy1、v1、up1子域進行連接。

成功連接上C2域名后，Core首先發送機器的基礎信息進行Bot上線。其中一個字段為name_id，是樣本硬編碼的一個字符串。稱其為mylobot-core的原因就是該團伙曾把這個字段設置為core。我們在2023年7月份捕獲的樣本中，其id被設置為了feb23，也就是2月23號，這與樣本編譯時間一致，與mylobot-proxy的更新時間也比較接近。其上線信息結構如下：

在發送完上線信息后，服務器需同樣回復一次上線標識符 \\x45\\x36\\x27\\x18，并且需要發送下一階段的惡意軟件的下載信息。下載信息同樣采用AES加密，其域名的加密采用同一個Key。后續的惡意軟件主要為mylobot-proxy，以下是我們收到的下一階段的載荷信息：

mylobot-core主要充當其他惡意軟件的下載器角色，除了mylobot-proxy，該團伙還下發過其他惡意軟件。minerva-labs曾經在core的指令中檢測到Mylobot團伙下發了一個勒索郵件發送器，勒索信內容描述攻擊團伙在色情網站投放了木馬，記錄了失陷者的攝像頭與郵件通訊錄信息，如果不打錢就發送攝像頭錄像給失陷者的聯系人，讓失陷者社死。

不過我們暫時并未在mylobot-core檢測到下發除mylobot-proxy的其他惡意軟件，由此可以判斷mylobot-proxy仍是該團伙主要運營的重心。

總結

Mylobot團伙雖然被披露了5年之久，但其仍舊處于較活躍的狀態，不過從其“主打產品”mylobot-proxy與mylobot-core來看，惡意軟件的代碼功能并沒有什么較大改動，這導致其查殺率相當高。我們猜測這可能是因為Mylobot團伙的運營中心在代理服務的售賣與運營上，從mylobot-proxy頻頻收到的指令也能印證這一點。從mylobot-core收到的勒索郵件發送器也說明了該團伙還從事有其他黑色產業，不過我們目前尚未發現其他相關聯事件，對于Mylobot團伙之后的動向我們將持續跟蹤。

IOC

Download Server

wipmania[.]net

wipmsc[.]ru

stcus[.]ru

162.244.80.231:80

212.8.242.104:80

51.15.12.156:80

mylobot-core（部分）

bcbxfme[.]ru

bmazlky[.]ru

bthmzsp[.]ru

byosnwr[.]ru

cxxhtmb[.]ru

dkqhmbi[.]ru

dldzeoo[.]ru

dlihgic[.]ru

dnfojik[.]ru

mylobot-proxy（202303-至今）

onthestage[.]ru

krebson[.]ru

stanislasarnoud[.]ru

參考鏈接

https://mp.weixin.qq.com/s/5YBvsb_pZGq_vxDlTNatEA

https://minerva-labs.com/blog/mylobot-2022-so-many-evasive-techniques-just-to-send-extortion-emails/

https://www.bitsight.com/blog/mylobot-investigating-proxy-botnet

來源：奇安信威脅情報中心