警惕伪装成韩剧Torrent种子的恶意软件:GoBotKR恶意软件分析

作者:???深信服科技股份有限公司广州办事处 2019/07/15 14:29:32 79次阅读 国际
文章来源:https://www.4hou.com/malware/19193.html

概述

广大韩剧迷应该留意,目前存在通过Torrent种子传播的恶意软件,这些恶意软件以韩国电影和电视节目作为幌子,允许攻击者将受感染的计算机连接到僵尸网络,并对其进行远程控制。

该恶意软件是名为GoBot2的公开后门的修改版本。攻击者对源代码的修改主要是针对韩国的特定规避技术,在本文中对这些技术进行了详细分析。由于该恶意活动明确针对韩国,因此我们将其称为Win64/GoBot2变种GoBotKR。

根据ESET的遥测,GoBotKR自2018年3月以来一直活跃。恶意软件检测数量达到数百个,韩国受到的影响最大(80%),其次是中国大陆(10%)和台湾(5%)。

恶意软件分布

GoBotKR已经通过韩国和中国的Torrent种子网站传播,伪装成韩国电影、电视节目以及一些游戏。

该恶意活动背后的攻击者试图欺骗用户执行恶意软件,通过使用具有欺骗性的文件名、扩展名和图标来诱导用户打开。我们的分析表明,伪装成电影/电视节目的种子通常包含以下类型的文件:

1、预期的MP4视频文件;

2、恶意可执行文件被封装为PMA压缩文件,其文件名模仿各种编码/解码工具的安装程序;

3、文件名和图标伪装成预期视频文件的恶意LNK文件。

下图展示了此恶意软件的Torrent内容示例:

警惕伪装成韩剧Torrent种子的恶意软件:GoBotKR恶意软件分析

那么,用户究竟是如何中招的呢?

如果直接打开预期的MP4文件,不会导致任何恶意操作。这里的问题在于,MP4文件通常会隐藏在不同的目录中,用户可能最先发现的就是伪装成视频文件的恶意LNK文件。用户在Windows资源管理器中查看时,通常不会显示出LNK文件的扩展名,如上图所示,因此这进一步加大了用户打开欺骗性LNK文件的可能性。

用户单击欺骗性LNK文件后,将执行恶意软件。但是,同时还会打开目标文件(在本例中为视频),这就让受害者没有感觉到出了什么问题。

之所以将恶意EXE文件重命名为PMA文件,也可能是为了防止引起对潜在受害者的怀疑。我们看到,攻击者还使用了游戏作为诱饵,并使用与游戏相关的文件名和扩展名。

在我们的调查过程中,我们看到以下文件名用于恶意可执行文件,分别是:starcodec.pma、WedCodec.pma、Codec.pma(伪装成电影或电视节目)和leak.dll(伪装成游戏)。其中的文件名“starcodec”主要是伪装成合法的韩国编码/解码工具Starcodec。

恶意软件功能

GoBotKR是建立在一个名为GoBot2的后门基础之上的,后门的源代码自2017年3月起公开发布。原始版本和修改版本都使用GoLang语言(也称为Go)编写。尽管恶意软件仍然相对罕见,但GoLang恶意软件的新变种也正在出现,其编译的可执行文件非常巨大,可能会为分析人员带来挑战。

GoBotKR的功能与公开发布的GoBot2源代码在很大程度上有所重叠,只进行了很少的修改。总体来说,恶意软件在技术上并不是特别复杂,并且实现起来相当简单。大多数功能都是通过使用GoLang库,以及执行Windows命令(如cmd、ipconfig、netsh、shutdown、start、systeminfo、taskkill、ver、whoami和wmic)以及第三方实用程序(例如BitTorrent、uTorrent)。

收集信息

实际上,GoBotKR背后的攻击者正在建立一个僵尸网络,然后可以用僵尸网络执行各类DDoS攻击(例如:SYN Flood、UDP Flood和Slowloris)。因此,GoBotKR在执行后,首先收集有关受感染计算机的系统信息,包括网络配置、操作系统版本信息、CPU和GPU版本,特别是,它还会收集已经安装的反病毒软件列表。

上述信息将会被发送到C&C服务器上,帮助攻击者确定在特定攻击中应该使用哪些僵尸主机。我们从分析的恶意软件样本中提取到的所有C&C服务器,都在韩国托管,并且由同一个人注册。

僵尸网络命令

一旦与C&C服务器建立通信,服务器就会使用后门命令指示受感染的计算机。GoBotKR支持非常标准的僵尸网络功能,有下面三个主要目的:

1、允许滥用受感染的计算机;

2、允许僵尸网络运营商控制主机,或进一步扩展僵尸网络规模;

3、逃避检测或隐藏被感染的情况。

下面是僵尸网络支持的命令:

1、对指定的受害者进行DDoS攻击;

2、访问URL;

3、执行文件、命令、脚本;

4、更新、终止或卸载;

5、关闭、重启、注销计算机;

6、在IE中更改主页;

7、改变桌面背景;

8、传播Torrent种子;

9、将自身复制到已经连接的可移动介质上,并设置自动运行功能;

10、将自身复制到云存储服务(Dropbox、OneDrive、Google Drive)的公共文件夹中;

11、运行反向代理服务器;

12、运行HTTP服务器;

13、更改防火墙设置,编辑主机文件,打开端口;

14、启用/禁用任务管理器;

15、启用/禁用Windows注册表编辑器;

16、启用/禁用命令提示符;

17、终止一个进程;

18、隐藏进程窗口。

我们特别关注其中的“传播Torrent种子”和“进行DDoS攻击”的能力。

“传播Torrent种子”命令允许攻击者滥用被感染的主机,通过BitTorrent和uTorrent程序传播任意文件,即使上述两个程序未安装在主机上也可以。这可以用作进一步分发恶意软件的机制。

“进行DDoS攻击”命令允许攻击者滥用受害者的网络带宽来影响目标服务(例如网站)的可用性。根据我们的分析,这很可能是GoBotKR僵尸网络的主要目的。

恶意软件的逃避技术

在本节中,我们将探讨GoBotKR后门使用的逃避技术。尽管公开的源代码中已经存在许多技术,但GoBotKR的作者进一步扩展了它们的特征。这表明,攻击者针对特定的目标定制了恶意软件,同时在其恶意活动中进行了额外的努力,以保证不会被发现。

从GoBot2获取的技术

GoBotKR采用GoBot2源代码中的一些逃避检测和反分析技术,具体如下:

1、恶意软件在系统上安装了两个自身的实例。第二个实例(监视程序)将监视第一个实例是否处于活动状态,如果发现第一个实例已经从系统中被删除,则会重新安装。

2、恶意软件采用反病毒绕过技术,分配大块内存并延迟执行恶意Payload,以防止反病毒引擎因资源限制而模拟代码。

3、恶意软件可以检测特定的安全产品和分析工具是否存在(例如调试器)。如果检测到这些产品或工具,则自动停止运行。

4、如果受害者的IP地址属于黑名单组织所拥有的IP地址(例如Amazon、BitDefender、Cisco、ESET),则恶意软件会自行终止。

5、恶意软件使用外部合法网站来查询IP信息,并在此信息中搜索硬编码的字符串(例如:“cloud”、“Cisco”、“Microsoft”),并没有使用API函数来实现这一点。

6、如果恶意软件的文件名由32个十六进制字符组成,那么恶意软件将会自行终止,这样会阻止在某些自动化沙箱中执行Payload。

GoBotKR独有的修改

GoBotKR的作者在恶意软件中新增了三种新的逃避技术,与他们针对韩国的关注有关:

1、恶意软件会检测受感染计算机的IP信息,来确认它是否属于被列入黑名单的组织。在GoBot2中,受害者的IP地址是通过访问Amazon Web Service或dnsDynamic并解析响应来确定的。

2、在我们分析的GoBotKR样本中,这些URL被韩国在线平台Naver和Daum所取代。

3、GoBotKR采用了一种新的逃避技术,可以扫描受感染系统上运行的进程,以检测特定的反病毒产品。如果检测到任何产品的存在,恶意软件将自行终止,并从主机上删除其活动的一些痕迹。检测的进程列表中,包含韩国安全公司AhnLab的产品。

GoBotKR检测的安全产品列表:

V3Lite(AhnLab, V3 Internet Security)

V3Clinic(AhnLab, V3 Internet Security)

RwVnSvc(AhnLab Anti-Ransomware Tool)

Ksde(Kaspersky)

kavsvc(Kaspersky)

avp(Kaspersky)

Avast(Avast)

McUICnt(McAfee)

360(360 Total Security)

kxe(Kingsoft Antivirus)

kwsprotect(Kingsoft Internet Security)

BitDefender(BitDefender)

Avira(Avira)

ByteFence(ByteFence)

4、恶意软件会尝试检测系统上是否运行分析工具。如果检测到任何一个分析工具,恶意软件将自行终止。该列表在内部被命名为“ahnNames”,可能是对AhnLab的另一次引用。

恶意软件的运行中进程黑名单在内部被命名为“ahnNames”:

除了引用AhnLab之外,根据我们从恶意软件中获得的元数据表明,上述第二点和第三点中的防御技术,使用了AhnLab.go的文件名被添加到源代码之中。

时间线

由于恶意软件通过种子传播,因此许多样本都被破坏,或者已经不完整。但是,我们能够恢复出C&C服务器和内部版本信息。

自从恶意软件的首次出现以来,我们监测到内部版本为2.0、2.3、2.4和2.5的样本。其中的每一个版本都带有一些小的技术改进,或实施上的差异。版本控制与GoBot2源代码中使用的版本不同,后者使用内部名称“ArchDuke”。

下表中列出了从2018年5月到撰写本文时ESET系统检测到的不同版本的GoBotKR。在时间线中,包含恶意软件的内部版本和首次发现的时间。由于PE时间戳已经从样本中被清除,因此我们不得而知。

GoBotKR版本时间线:

警惕伪装成韩剧Torrent种子的恶意软件:GoBotKR恶意软件分析

表2. GoBotKR版本时间表

如上表所示,2018年5月检测到的第一批恶意软件样本还尚未针对韩国目标进行定制,因此几乎与GoBot2源代码相同。但是,由于该版本的恶意软件与下一版本针对韩国目标的恶意软件使用了相同的C&C服务器,因此我们能将二者关联起来。

安全建议

如果用户怀疑自己可能已经成为该系列恶意软件的受害者,我们建议用户使用可靠的安全解决方案对计算机进行扫描。ESET产品检测该威胁为“Win64/GoBot2”,并将阻止该恶意软件。用户可以使用ESET的免费在线扫描程序检查计算机上是否存在此威胁,同时能够删除检测到的任何内容。

通过Torrent种子网站分发的盗版视频内容,是一种众所周知的传播各种恶意软件的媒介。为了避免以后发生此类攻击,建议在下载内容时坚持选择官方的来源。在运行下载的文件之前,请注意它们的扩展名是否与预期的文件类型匹配。为了保护计算机,我们建议广大用户定期更新补丁,并使用信誉良好的安全软件。

威胁指标

ESET检测名称:

Win64/GoBot2

C&C服务器:

jtbcsupport[.]site

kingdomain[.]site

higamebit[.]com

bitgamego[.]com

helloking[.]site

SHA-1(请注意,由于其种子的分发机制,某些恶意软件样本可能已经损坏):

2.0版本

038C69021F4091F0B1BE3F059FCDC1C4FA8885D2

092A4F085A01E0D61418114726B9F9EF9F4683C3

11953296BBC2B26303DED2F92FB8677BD8320326

11BF60CC2B8AC0321635834820460824D76965DE

275EE3BD90996EF54DB5931CBDF35B059D379E0E

424215E74EA64FC3A55FE9C94B74AFC4EA593699

4899912880FF7B881145B72A415C7662625E062E

6560BD68CD0CA0402AB28D8ABE52909EB2BA1E10

6A58E32DFF59BAEE432E5D351EAD7C7CB939CCB7

6BE3A40D89DDCDCFA37926A29CE5BCC5FF182D12

77EAE50B8C424338C2987D6DFF52CE0F0BBBD98F

A04EB443942DD3906A883119429BF09A3601B3E0

A61D72BA8AE6A216F1D5013A05CEA8D4F96E81E1

B60DA1F89313751FAA21DD394D6D862CC8C2DBE4

B7CEAE53118890011B695E358633CCD35E8CD577

BDBA27E525D6DC698C1CF90B07F4FB85956E9C28

C31955C4D3C38591BBC8A2089F23B5558146267B

D688A58001E41A8CA22EABCA309DA9FCD2910CB3

DD18D7B0ADE5E65EFDE920C9261E8890B4105B75

E0046D91BED1B3A09243C43760599DC9D8F99953

E00F1BB85A277A8C1ED081642EF76413B2FF7EA9

EA968D757281E6BB5D9334E7F2C9ECDA69EA15A9

F9C40789C780174F6BB377AE46F49B94E402AE77

FFF263FA9E16F7945BCE21D0F6C11C75DAA241D8

2.3版本

018927A35B2CEC08D5493CB75BAA62D6956D0109

063C462E98453AD6E4091A5AB35613CAF19DF415

082A026BD14F69AF46641ABF20520B3D2D0D6E6A

084A7E6B7DD955554FCED021DF58458C7E66EBB2

097248EB38277DA879F5D606179C746DB6BB2C54

0DBA9DDBBB12FA4FE22CD4EE16EF8DCC73B7D295

0E9D0C1A82DFB53DF9BB8B75D3A90B2236704498

0F4BB3FC6771D306565E1002B3327A9F2AED92AF

14129424593DC8B1865F491A9CA92BE753B2A7F0

16703AE741257EAF2EC76E097D17F379E3FCB29D

1BE6DB3F30B41A8777819C9D04056923C74E052E

1C4FDDDBB8402D3A1E70E5DCD4C0187C6F55ABA3

1F966B8540CF9716640DF39FA0B97FBA62200C1F

1FCE2D1735C226DC688EC191B18EF773D0B51830

2145B398927E056AFEA963CCEE39D60760F4FD21

2172B67E6E17944C74468634C1BB52269187D633

227198CB1BB02601E6E707892DC50CB9F11D1C62

25E43D900CD7AA89A209F97CC8B1E718B2E98F6B

2B0D9C7D0D9C847822283EBCB7D4E650A5DC8104

2C4B970778D8F4441EB93DA34A279E7A678E370A

2F6320819D541AE804873EA5AD3E93C0B21028F3

2F635862C92A31CE39F87262D77FC022810F40D3

31AE67F632FC6B278BD6D50D298585BF53A844DB

3356BFD26189533E8E77BFC6E59A5ED25F6BE1E2

354D5135660292C9D4DD5C394ECAAC5DC3719D8A

37902317F4B751C80C4404F6FC6A831602B9B540

3918E9F79C154F6031DA52A21F1F7477715B28BC

3B0B403BAFC72FD86EEC6474886AA7233083888F

3DD1A7A8533676FD471C69AD39DCEE0FBBE7E1FD

4186AECA8B229B51EFD559E7B839E669374673AD

426D064FDBB9AFB694F67F37942BBBD0C2E4AD69

42C4F415580B0EB17E139E92A2DA111BF6CCAF7F

446C3F1EFB3A44FEA98F23AEBBC925DD0C330BE6

4596E0D116A511E204A57877538EA26D174E269E

46D398B78C2DFF0118100B6507F049E867E5195F

4709995AC0FB5F32129AAD235755A8BEB9B355ED

47918740BA72FD3857F209069D6674AF8EFD411B

49A56E7A0BCF3538555078BFFA7DDBB60ADF0DDE

4C3D825798056EEF7E3FE33BDA777F9E70D4E7D4

4F4781B24879DF51652DF3FB24F156F76F78B376

4F6E7EA69CD44E5065EAD8655BC4105375D33A06

5B96C0349C07D6B37F1D3EC9F792CB5848FC48C6

5CD88B03821C3B84D7397D166233A15C0041B38B

5D93972D0352DF08DC06FF5AF120B328654B272F

5E7BEB4E8A35B234D263DDE0AED33C6C9A0D1D57

60CA70EDA899EE58AD419F513F5FB279B89C87A4

60D3445A6A15C8396356AC6F9807965A8E7BFA67

60F638CAD3116DB2FE580C31800A66836D534986

64FC3A6B5F0FA745D66DC66ED2FBC75A7C71C747

660C360B3DF4354FDAFA6454B7E19588FFE296E1

6D90CC4FF3A7F91FDFD904E73CDE3351F14EA828

6FC19EB46CAFC1A18F99119EB7353DE116F1BDFD

718957E417194A6EBD3B55C77AB3EB405E30257B

734F33BCDBF062DDEA90B2B89AF5DC4F0B292594

7688C3DCD43605BDC5E3AED03F6D87E18AEAC9AC

779366C5B356383A2286441EB84140C13000510C

7CD7334FC7CE9701A7C4FE091CC3EC01D07363D9

7DF8023457D50FF9F66CDB4C914206A163BD1713

7F95715B0BF80B7BBECC757D613084D76334101C

830F1387DFEC3D7F8D5678EED8A7C45C76B5DBE6

8368E9DEAE2F880D37232E57240CA893472C8BD3

8AFECBF940273C979D01856E1332EFF6EFE24D09

900E1C9666EECACA47DD59D908EED5480CF92953

9166AB0420C9223F23AC5C4EC5503F75505E5770

94D723C409EF4C4308113F3DBB3CB7E1084C3E12

966B722D6180AC774CFF51CFD20A1C1B966E3F43

98826BC207F1914867572561B4E0643DBE8FD8E4

9DD65F76AAF739AEF7EB9D4601ED366B3B48B121

9E6E772E41F452ED695310BCFA2B88429F12100A

9EDA0E8C2F0EDE283DC1457E4967002BDF3D376F

A9A0A33466B54A5617F986F6B160E10C5B8D81DA

AEF7725E9B945C7BCCCD7A23B1C1C1E40EEAC774

B052FC4D36F40C225397127EFB31628E8B96DC48

B563B60ED58C99199CCAB44496F858A5D42E54E7

B56A6FB4EC95793407752294782EF914EF497C8F

B57736D4F14F4E157D23C14E627A817A03C2DE24

B703848F4BC390E3E9516E3E4C746AD7C616FF96

B8F46453C1E5C03DAD1C07AB8705BE3E4F4224D2

BB7438119A8A2F79CF06BDAA14D8CACA57E05B17

BB89551AA131832395B1589C0E25D3F013A22A24

BCD2027681DD5628F0741B79B1D7C2AC4573D8E2

BD3859586D4C1701498EEFD05BB2E016848CE95D

BF42743314770340DDB5C80F22F39C6E07F74252

BFCB367868E4CFBA880E41B37241E089382F424C

C0B5CE4D03AED769DCCD5BA2BB5296C7D9F55F68

C13BED8DADA964EBF2A88786715FF83F0A1A8BCA

CBA77FE9FA0759AE0CD073D3B126F73BEB340814

CC98D9E90B7DA6E314434A246653B718ABF72FBB

CD880876565DF58EAFC033C0D207E2B2613F8C0D

CE1B68F65E2CC9A060996E58101B80C907C63377

D1D603E24FD82B6BE32B99A25A86F6CD46F3A8AF

D7423A1F56FFF460031419856FE4F7C557E1A2BF

D8ACB99F04A5EC3E355B947885E02977D6C37AF0

DA6603AC6CB47A3C448CB232EB0116BD62C7B7E4

DD1E3544F8363517556A91EBA40E85EE3638528E

DE5F6E4F559BD9FD716271AA35AFF961DF620B84

DEEC9543303C8211AD2C781F4AA936EFC191F64F

DFF022EC8223676E0D792DD126EE91B0D3059C4C

E22D6F80F0FA05446D3AF7D57EB920BA89DBEE9E

E31ABA7D0BBE49F7E66BD04379BC4837A7C91E46

E3204213E526C6ED3F8BE49D8E493DB5E92EC52A

E51519CF8C9522B4266D7CFC7125AF111DB259E7

E6AB36FE3BBDE63B28BFDF27D8890048FEA1E66D

E95A1D9E57821EBA66B421A587A014EB297DE69F

EA2BB07BB8AD5BFE1F0E92AD7B64D960600924C9

EBB140CDF75386E0FA7746910EB6596323184A7F

EDFA500254F315407783F302E85A27D8C802E4F8

EE8198049EBE16E2BA86163361FE4B5F7768FA2E

F0C6B2DEAB37A6BF78E4DF66FC4DD538F5658F6A

F15ED7BE791A2DD2446A7EF5DF748ACB474C0E98

F3DD44C8FC41D466685D8F3B9D3EA59C479230B6

F8353AB3D4D6575FD68BE1ECCF6446A5100925C9

FA22EB25A1FCBD26D5E6B88B464B61BCC4B303C2

FAEE079AABB92B4C887BA3FBEE4D1D63732D72A3

FD37E55481C7941B420950B0979586BDE2BA6B8A

FFD169CBB8E6DC9F1465AC82DDDC4C99AB59C619

2.4版本

896FB40BACBF8B51A06AAF49523DE720D1C21D53

A997A5316D4936F70CDF697DF7E65796CE11B607

2.5版本

27ED3426EA5DB2843B312E476FFFCF41BA4FDD31

C4074FCC7A600707ADCAF3DD5C0931E6CBF01B48

注册表项

GoBotKR使用的注册表项是位于[HKCU\SOFTWARE]下的一个子项,其中包含来自硬编码列表的变量名称,主要模仿合法的软件名称。

恶意软件将使用以下注册表项:

ID

INSTALL

NAME

VERSION

REMASTER

LAST

WATCHDOC

MITRE ATT&CK技术

1、初始访问

T1189 诱导感染 GoBotKR通过Torrent文件共享网站被分发给韩国的受害者,使用游戏或韩国电影/电视剧作为诱饵。

2、执行

T1059 命令行界面 GoBotKR使用cmd.exe来执行命令。

T1064 脚本 GoBotKR可以下载并执行脚本。

T1204 用户执行 GoBotKR将恶意软件伪装成用户打算下载的Torrent内容,并诱使用户点击。

3、持久化

T1060 注册表运行键/启动文件夹 GoBotKR在注册表运行键下安装其自身,以建立持久性。

T1053 计划任务 GoBotKR添加注册表运行键值,从而建立用于恶意软件持久化的任务。

4、权限提升

T1088 绕过用户帐户限制 GoBotKR尝试使用注册表劫持技术绕过UAC。

5、逃避防御

T1140 反混淆/解码文件或信息 GoBotKR使用Base64来混淆字符串、命令和文件。

T1089 禁用安全工具 GoBotKR可以使用netsh来添加本地防火墙规则例外。

T1158 隐藏文件和目录 GoBotKR将自身存储在具有Hidden和System属性的文件中。

T1070 移除主机上的痕迹 GoBotKR从文件的ADS(备用数据流)中删除区域标识符,以隐藏文件是从互联网下载的这一事实。

T1036 伪装 GoBotKR使用与合法软件关联的文件名和注册表项名称。

T1112 修改注册表 GoBotKR将其配置数据存储在注册表中。GoBotKR可以修改注册表项以禁用任务管理器、注册表编辑器和命令提示符。

T1027 混淆的文件或信息 GoBotKR使用Base64来混淆字符串、命令和文件。

T1108 冗余访问 GoBotKR在系统上安装自己的副本,如果已经删除主文件,副本将会监控到这一情况并重新安装主文件。

T1497 虚拟化/逃避沙箱

GoBotKR对受感染的计算机执行多项检查,以避免在沙箱中模拟或执行。

6、侦查

T1063 安全软件侦查 GoBotKR检查与安全产品和调试工具相关的进程,如果检查到任何进程,则终止其自身。他可以使用wmic命令枚举已经安装的反病毒软件。

T1082 系统信息侦查 GoBotKR使用wmic、systeminfo和ver命令收集有关系统和已安装软件的信息。

T1016 系统网络配置侦查 GoBotKR使用netsh和ipconfig来收集有关网络配置的信息。它使用Naver和Daum来获取客户端的IP地址。

T1033 系统所有者/用户侦查 GoBotKR使用whoami获取有关受害者用户的信息,将会运行测试以确定受感染用户的权限级别。

T1124 系统时间侦查 GoBotKR可以获取受感染系统的日期和时间。

7、横向移动

T1105 远程文件复制 GoBotKR尝试将自身复制到云存储服务(Google Drive、Dropbox、OneDrive)的公共文件夹,它还能够通过指示受感染的计算机使用恶意文件传播种子来实现自身的传播。

T1091 通过可移动介质进行复制 当用户在另一个系统上打开可移动介质时,GoBotKR可以将自身放置在可移动介质上,并依赖自动运行来执行恶意文件。

8、收集

T1113 屏幕截图 GoBotKR可以捕获屏幕截图。

9、命令与控制

T1090 连接代理 GoBotKR可以用作代理服务器。

T1132 数据编码 与C&C服务器的通信是以Base64形式编码的。

T1105 远程文件复制 GoBotKR可以下载其他文件,并进行自行更新。

T1071 标准应用层协议 GoBotKR使用HTTP或HTTPS进行C&C通信。

T1065 不常用的端口 GoBotKR使用非标准的端口,例如6446、6556、7777,用于与C&C进行通信。

10、攻击

T1499 终端拒绝服务 GoBotKR已经被用于执行终端DDoS攻击,例如TCP Flood和SYN Flood。

T1498 网络拒绝服务 GoBotKR已经被用于执行网络DDoS

T1496 资源劫持 GoBotKR可以利用受感染计算机的网络带宽传播种子或执行DDoS。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室