概述

SkidBot僵尸网络于2021年完成后多次尝试传播，波峰在2022年下半年，之后逐渐趋于平静，近期我们又发现其开始有传播的趋势：

SkidBot 分析

单例运行

通过监听端口确保单个实例，不同时期传播的样本中监听端口不同。近期最新的传播样本中对应端口为9072：

杀掉竞争对手

运行后通过读取/proc/中可执行文件的路径信息判断是否为僵尸网络进程并杀死：

在其中某个版本中，会通过内置硬编码的白名单路径进行过滤查杀：

字符串加密

在2021年的某个版本中发现其对重要字符串存在加密，在使用前利用自编写的解密函数进行解密：

但是后续版本中作者由于不明原因删除了此机制。

通信协议

SkidBot 的通信与 Gafgyt 类似，上线包格式为 "(前缀)+架构"，在分析时发现了多种前缀，在最新传播的样本中前缀为 "skidlet"，同时C2服务器在收到上线包后会进行回复 "HiSkid"，这也是该家族命名的由来：

其中一些版本（包含最新传播样本）的样本会尝试连接360次，如果在连接C2服务器360次都失败后样本将自动退出：

指令解析部分于Gafgyt基本一致，使用空格分割字符串：

当前正在传播版本中支持的 DDoS 方法如下：

关联分析

相似的skidletBot

在样本关联过程中，分析师关联到了一个与 SkidBot 上线包相似的类Gafgyt僵尸网络，分析后不把该家族与 SkidBot 合并，同时由于该家族仅在五月底昙花一现未大规模传播，因此我们在这里不做详细说明，给出该家族的yara供大家参考：

rule skidletBot{  meta:    author = "WPeace"    sample = "551a68a827c9b53484f401a5f1fb65b1，3991882a420d6341acc9d339530a046e"   strings:    $elf = "\x7FELF"    $commandStr = "killbots"    $onlinePack = "skidlet "    $killCompetitorStr_0 = "/proc"    $killCompetitorStr_1 = "/exe"    $killCompetitorStr_2 = "deleted"    $killCompetitorStr_unused = "/cmdline"   condition:    all of them}

团伙关联

分析 SkidBot 僵尸网络的相关资产，与Ares黑客团伙存在多处重合：

俄罗斯成员？

Ares黑客团伙已知除中国大陆外还有来自越南的成员，而本次的分析中我们在 SkidBot 迭代版本中发现了多种俄语上线包：

同时在监控俄乌网络战的过程中，我们发现攻击俄罗斯网络研讨会平台的C&C服务器地址 "rtjrsdtghszrdtf.ru" 同时也攻击过多个Ares团伙的基础设施。综上我们当前暂时怀疑Ares黑客团伙或存在俄罗斯成员。

IoCs

A79E9F0B0B7079ADCBAB09632F580DC0

42AF29F875571EAAD889BDE62EB545F4

1A1F56D1AC1EAB788990B6850188B528

8AC1A3A96ACBCB8DDF5A466BD3A30065

3230A22381112A0AA6218D48D5C7DC81

534661AEFF84424B80FC274BDF4F7C5A

DC59D73A86033BB344D2A5EBE068BD89

47DA8A33D0158AD9C5B0A88E67F092EC

91F881700F7974176F56A43DF48FF9EF

C&C:

46.249.32.12:600

2.57.122.77:1023

2.57.122.77:2015

209.141.43.159:1988

107.172.249.169:56648

107.172.86.42:888

194.38.21.21:7398

185.28.39.99:7398