攻击DeepSeek的僵尸网络HailBot的三个变种分析

主要观点总结

安天CERT发布了关于攻击DeepSeek的僵尸网络样本分析报告，分析了RapperBot和HailBot僵尸网络体系及其与Mirai僵尸木马源代码泄漏的衍生关系。报告详细分析了HailBot的三个变种：HailBot.a、HailBot.b和HailBot.c，它们分别使用不同的输出字符串，并展示了它们的传播方式、解密算法、上线包和DDoS指令的差异。此外，报告还指出了这些变种之间的密码档差异和生命周期，以及利用CVE-2023-1389漏洞的新投放方式。最后，报告提供了样本的MD5哈希值和其他相关的IoC信息。

关键观点总结

关键观点1: HailBot僵尸网络体系分析

分析了HailBot的三个变种，包括它们使用的输出字符串、传播方式、解密算法、上线包和DDoS指令。

关键观点2: 密码档差异和生命周期

报告展示了HailBot.b和HailBot.c的密码档差异，以及这些变种之间的生命周期和分支关系。

关键观点3: 新的漏洞投放方式

报告指出了利用CVE-2023-1389漏洞的新投放方式，该漏洞影响TP-Link Archer AX21（AX1800）路由器。

关键观点4: 样本检测和分析的局限性

讨论了反病毒引擎在检测样本时的局限性，并强调了做好基本功（如更改默认口令、为不同设备配置不同口令）的重要性。

关键观点5: 大模型技术在分析中的应用

报告展示了使用大模型技术辅助特征工程体系进行样本分类、聚类和特征发现的过程。

文章预览

点击上方"蓝字" 关注我们吧！ 01  概述 安天CERT 在2月5日发布了 《攻击DeepSeek的相关僵尸网络样本分析》 报告，分析了攻击中活跃的两个僵尸网络体系RapperBot和HailBot和其典型样本，分析了其与Mirai僵尸木马源代码泄漏的衍生关系。安天工程师依托特征工程机制，进一步对HailBot僵尸网络样本集合进行了更细粒度差异比对，在将样本向控制台输出的字符串作为分类标识条件的比对中，发现部分样本修改了早期样本的输出字符串“hail china mainland”，其中数量较多的两组分别修改为“you are now apart of hail cock botnet”和“I just wanna look after my cats, man.”。为区别这三组样本，我们将三组变种分别命名为HailBot.a、HailBot.b、HailBot.c，对三组样本的传播方式、解密算法、上线包、DDoS指令等进行相应的分析。其中也有将输出字符串修改为其他内容样本，但数量较少， ………………………………