针对 Web 服务器的 Golang 僵尸网络 GoBruteforcer

程序员小肖

已于 2024-01-16 21:45:40 修改

阅读量942

点赞数 22

文章标签：前端服务器 golang

于 2023-11-24 14:45:23 首次发布

本文链接：https://blog.csdn.net/qq_53058639/article/details/134598599

版权

研究人员近日发现了一个 Golang 开发恶意软件，并将其命名为 GoBruteforcer。该恶意软件主要针对 Web 服务，特别是
phpMyAdmin、MySQL、FTP 和 Postgres 服务。

简介

Golang 现在越来越来受到攻击者的欢迎，被用于开发个各种各样的恶意软件，包括勒索软件、窃密木马与远控木马等。

GoBruteforcer 就是一种用 Golang 编写的新型僵尸网络，主要针对 Web 服务，特别是 phpMyAdmin、MySQL、FTP 和
Postgres 服务。

GoBruteforcer 会扫描整个 CIDR 块，而不是单个的 IP 地址。发现主机存活后，GoBruteforcer
会通过暴力破解尝试入侵服务器。一旦获取访问权限，GoBruteforcer 就会立刻部署 IRC Bot。并且，留下 PHP WebShell
作为失陷主机的后门。

image.png-173kB GoBruteforcer
攻击链

服务器的 /.x/ 目录下的 cache_init 文件，就是被发现植入的 GoBruteforcer 恶意软件。

image.png-294.2kB 失陷主机上的恶意软件

GoBruteforcer 恶意软件主要针对类 Unix 平台，支持 x86、x64 与 ARM 架构。

扫描与系统访问

GoBruteforcer 恶意软件样本使用 UPX 加壳，并且针对 CIDR 块内的主机进行扫描。

image.png-111.1kB CIDR
块扫描

对目的 IP 地址来说，恶意软件对其进行扫描 phpMyAdmin、MySQL、FTP 和 Postgres 服务，每种服务都定义了单独的扫描模块。

image.png-150.1kB 扫描不同服务的模块

在不同的扫描模块间，会共用端口扫描模块。

image.png-116kB 端口扫描功能

phpMyAdmin 服务

扫描 phpMyAdmin 服务时，GoBruteforcer 会尝试通过暴力破解入侵服务器。GoBruteforcer
内部携带了各种硬编码的凭据，如下所示：

image.png-119.1kB 硬编码凭据列表

IRC Bot

通过 phpMyAdmin 服务成功进入失陷主机后，GoBruteforcer 会进一步部署 IRC Bot。文件 fb5 与 ab5 分别是 x86_64
和 ARM 架构的 IRC Bot，如下所示：

image.png-146.9kB x86
平台的 IRC Bot

image.png-147.3kB ARM
平台的 IRC Bot

GoBruteforcer 恶意软件通过 IRC Bot 启用 C&C 通信，如下所示：

image.png-127.8kB IRC
的 C&C 通信

IRC Bot 也会设置定时任务进行持久化，如下所示：

image.png-48kB 定时任务持久化

MySQL 与 Postgres 服务

扫描 MySQL 与 Postgres 服务时，GoBruteforcer 检查 3306 端口与 5432
端口是否打开。确认服务开放后，尝试使用各种凭据进行登录，如下所示：

image.png-87.7kB Mysql
登录尝试

image.png-97.4kB Postgres
登录尝试

FTP 服务

确认 FTP 的 21 端口打开后，GoBruteforcer 会尝试使用 goftp 库进行连接尝试，如下所示：

image.png-227.2kB FTP
登录尝试

PostResult 模块与 WebShell

扫描完成后会调用 GoBruteforcer 的 PostResult 模块，其中包含一个硬编码链接如下所示：

image.png-58.6kB 硬编码链接地址

进一步分析该 IP 地址的目录，其中发现了名为 x 的 WebShell。该 WebShell 与名为 pst.php 的 PHP 文件相似。这个
WebShell 实际上具备 Reverse Shell 与 Bind Shell 的功能，如下所示：

image.png-116.9kB WebShell
功能

除此之外，WebShell
还提供了一个数据包生成工具。能够根据攻击者的控制生成定制化的数据包，例如主机、端口、超时时间等。攻击者可以利用这个工具，来深入地了解目标网络。

image.png-152.1kB 数据包生成工具

旧版本 GoBruteforcer

在研究人员分析 GoBruteforcer 攻击活动的时候，发现了旧版的 GoBruteforcer 样本文件。该版本的 GoBruteforcer 只针对
phpMyAdmin 服务进行攻击，且 VirusTotal 上为零检出。

image.png-520.7kB VirusTotal
检测结果

结论

Web 服务器一直都是攻击者攻击的重点目标，如果存在弱口令会存在严重的安全隐患。GoBruteforcer
仍然在积极的开发升级中，不久的将来应该能够看到其他攻击 Web 服务的攻击技术。

IOC
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参考来源

[paloaltonetworks](https://unit42.paloaltonetworks.com/gobruteforcer-golang-
botnet/)

768a3601b1b181e9741717665b

参考来源

[paloaltonetworks](https://unit42.paloaltonetworks.com/gobruteforcer-golang-
botnet/)

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。

程序员小肖

关注

22
点赞
踩
17

收藏

觉得还不错? 一键收藏
0
评论
针对 Web 服务器的 Golang 僵尸网络 GoBruteforcer

Golang 现在越来越来受到攻击者的欢迎，被用于开发个各种各样的恶意软件，包括勒索软件、窃密木马与远控木马等。GoBruteforcer 就是一种用 Golang 编写的新型僵尸网络，主要针对 Web 服务，特别是 phpMyAdmin、MySQL、FTP 和Postgres 服务。GoBruteforcer 会扫描整个 CIDR 块，而不是单个的 IP 地址。发现主机存活后，GoBruteforcer会通过暴力破解尝试入侵服务器。
复制链接

扫一扫