僵尸网络Sathurbot分析报告

时间 ：  2017年05月05日  来源：  安天

近日，安天追影小组在整理网络安全事件时，发现一种针对WordPress安装程序的威胁，攻击者可通过僵尸网络对WordPress账户进行爆破，并利用已入侵的网站进行其他恶意代码的传播。据推测，Sathurbot僵尸网络从2016年6月起就一直处于活跃状态，迄今已感染超过20,000台计算机。

分析介绍：

该僵尸网络的后门木马使用种子作为传播媒介，被入侵的网站被用于托管一些伪造的电影、软件种子，当用户在网络上搜索资源时，会搜索到这些含有可执行文件的恶意链接，若用户点击该链接，用户主机将会自动加载Sathurbot DLL，从而使得攻击者掌握用户主机的控制权，用户主机沦为Sathurbot僵尸网络的肉鸡。

安天追影团队的分析人员对Sathurbot DLL中的某一样本（MD5：887ed78adccd02427b9d5965a929cdd0）进行了简要的分析。

当Sathurbot样本启动后，样本会通过查询DNS来检索它的C&C服务器，DNS服务器会反馈一个DNS TXT记录，TXT中包含的十六进制字符串解密后用作C&C域名，样本可以上传文件至C&C服务器，也可下载并执行其他文件，在此类可执行文件中发现了Boaxxe、Kovter和Fleercivet等家族的变种。随后，Sathuurbot样本向C&C服务器报告安装成功以及自身的监听端口，并定期向C&C服务器报告运行状态，等待C&C服务器下达其他指令。

Sathuurbot僵尸网络主要以WordPress为目标，C&C服务器上包含一份域名访问凭证列表（格式：“用户名：密码@域名”）。为避免访问行为被拦截，每个受感染主机在同一站点采用不同的用户名密码进行尝试，每个受感染主机在每个网站上只尝试一次，然后转至下一个网站。此外，除了攻击WordPress，攻击者还针对其他网站进行攻击，如Drupal、Joomla、PHP-NUKE、phpFox 与 DEdeCMS 框架网站等。受感染主机还可通过集成libtorrent库来实现恶意软件传播，但并非所有的受感染主机都可执行此功能，其中一部分用作Web爬虫或网站爆破。

总结：

安天追影团队提醒广大网络用户，在搜索互联网资源时，一定要小心谨慎，提升自身安全意识，避免访问可疑的链接，避免下载未知的可执行文件，另外，对于操作系统及软件，及时更新，避免给恶意软件可乘之机。

MD5:

887ed78adccd02427b9d5965a929cdd0

参考链接:

https://www.welivesecurity.com/2017/04/06/sathurbot-distributed-wordpress-password-attack/