攻击DeepSeek的僵尸网络HailBot的三个变种分析

主要观点总结

安天CERT发布了关于攻击DeepSeek的僵尸网络样本分析报告，分析了RapperBot和HailBot僵尸网络体系及其与Mirai僵尸木马源代码泄漏的衍生关系。报告详细分析了HailBot的三个变种：HailBot.a、HailBot.b和HailBot.c，它们分别使用不同的输出字符串，并展示了它们的传播方式、解密算法、上线包和DDoS指令的差异。此外，报告还指出了这些变种之间的密码档差异和生命周期，以及利用CVE-2023-1389漏洞的新投放方式。最后，报告提供了样本的MD5哈希值和其他相关的IoC信息。

关键观点总结

关键观点1: HailBot僵尸网络体系分析

分析了HailBot的三个变种，包括它们使用的输出字符串、传播方式、解密算法、上线包和DDoS指令。

关键观点2: 密码档差异和生命周期

报告展示了HailBot.b和HailBot.c的密码档差异，以及这些变种之间的生命周期和分支关系。

关键观点3: 新的漏洞投放方式

报告指出了利用CVE-2023-1389漏洞的新投放方式，该漏洞影响TP-Link Archer AX21（AX1800）路由器。

关键观点4: 样本检测和分析的局限性

讨论了反病毒引擎在检测样本时的局限性，并强调了做好基本功（如更改默认口令、为不同设备配置不同口令）的重要性。

关键观点5: 大模型技术在分析中的应用

报告展示了使用大模型技术辅助特征工程体系进行样本分类、聚类和特征发现的过程。

免责声明