BlackNET僵尸网络攻击场景复现及通信模型剖析

字数 2734 2025-08-24 07:48:09

BlackNET僵尸网络攻击场景复现及通信模型剖析

概述

BlackNET是一个开源的僵尸网络框架，分为WEB面板控制端和远控木马编译器两部分。该框架支持多种恶意功能，包括反虚拟机、反调试、网络传播、文件捆绑等，并能下发39种远控指令，如DDOS攻击、挖矿、远程shell等。

BlackNET僵尸网络框架

WEB面板控制端功能

管理僵尸网络木马
下发远控指令
日志记录

远控木马编译器功能

自定义配置木马程序
支持多种传播和执行方式

框架目录剖析

WEB面板控制端目录

plugins/目录包含可疑文件：
- FileSearcher.dll
- PasswordStealer.dll
- PluginExample.dll
- xmrig.exe（挖矿程序）

远控木马编译器目录

stub.exe：原始木马程序
watcher.exe：守护程序，用于启动Client.exe木马程序

BlackNET攻击场景复现

生成木马配置选项

Main Settings

BN URL：C&C地址
Victim ID：上线ID
MUTEX：互斥对象
Spiltter：拆分上线信息的字符串
Persistence：持久化配置
- Add to Startup/Add to Scheduled tasks：自启动
- Stealth Mode：安装至指定目录
- Enable Watchdog：守护程序
- Delay Execution：延迟执行
- Critical Process

Extra Features

Dropbox Spread/OneDrive Spread/USB Spread：传播方式
Elevate UAC：使用UAC提升权限
Anti-Debugging：反调试
Bypass VM：反虚拟机
AES Encryption：加密BN URL配置信息
StartKeylogger：键盘记录
Disable WD：关闭Windows Defender
Debug Mode：调试模式

Binder Settings

文件捆绑并运行
外链下载并运行
自定义图标
编译格式支持：.EXE、.BAT、.CMD、.SCR、.PIF

木马上线流程

在受控主机运行Client.exe
木马连接C&C服务器
在WEB面板显示上线主机

BlackNET木马详细剖析

配置信息映射

Builder配置页面	木马配置信息	备注
BN URL	Host	C&C地址
Delay Execution	DelayCodeStatus/DelayCodeTime	延迟执行
Spiltter	Y	拆分上线信息字符串
Victim ID	ID	上线ID
Add to Scheduled tasks	ASchtask	自启动
...	...	...

关键技术实现

AES Encryption

使用PBKDF2算法生成AES的IV和KEY
Base64解码加密数据
AES CBC解密外链C&C

Enable Watchdog

释放watcher.exe程序
根据描述信息"Windows Update Assistant"查找Client.exe
检测并确保Client.exe运行

BypassScanning（反调试）

检测以下内容：

特定进程（procexp, SbieCtrl等）
系统盘大小
XP环境
VMware/VirtualBox环境
调试状态
Sandboxie环境

Downloader功能

Binder Settings：从资源段释放捆绑程序
Downloader：从外链下载载荷文件

远控功能详解

WEB面板指令	木马指令	备注
Ping	Ping	心跳通信
Show Messagebox	ShowMessageBox	弹框
Take Screenshot	Screenshot	截屏
...	...	...

重点功能实现

StartDDOS

支持7种攻击方式：

UDPAttack：ping.Send
SlowlorisAttack："POST / HTTP/1.1\r\nHost: "
ARMEAttack："HEAD / HTTP/1.1\r\nHost: "
TCPAttack：socket.Connect(remoteEP)
HTTPGetAttack：webClient.DownloadString
BWFloodAttack：webClient.DownloadString
PostHTTPAttack：webClient.UploadString

XMRMiner

运行xmrig.exe挖矿程序
从C&C服务器下载挖矿配置

RemoteShell

执行攻击者下发的shell命令
返回执行结果

Screenshot

截取受控主机屏幕
上传截图到C&C服务器

BlackNET通信模型剖析

通信流程

检查C&C存活：check_panel.php
上线通信：connection.php（上传系统信息）
心跳请求：循环getCommand.php?id=（获取指令）
执行指令
结果上报：receive.php?command=CleanCommands等

通信特征

URL参数编码：
1. Base64编码
2. 将+替换为-
3. 将/替换为_
解码过程相反

上线通信载荷示例

SGFjS2VkX0RFQThCNzA1fEJOfERFQThCNzA1fEJOfFdJTi1KTUtKRU1KQzRPVHxCTnxNaWNyb3NvZnQgV2luZG93cyA3IOaXl-iIsOeJiCB8Qk58SW50ZWwoUikgQ29yZShUTSkgaTctMTA1MTBVIENQVSBAIDEuODBHSHp8Qk58Vk13YXJlIFNWR0EgM0R8Qk58Mi4wMCBHQnxCTnxOL0F8Qk58djMuNy4wIFB1YmxpY3xCTnxPbmxpbmV8Qk58bm98Qk58VXNlcg

解码后：

HacKed_DEA8B705 | BN | DEA8B705 | BN | WIN-JMKXXX4OT | BN | Microsoft Windows 7 旗舰版 | BN | Intel ( R ) Core ( TM ) XXXXXU CPU @ 1 .80GHz | BN | VMware SVGA 3D | BN | 2 .00 GB | BN | N/A | BN | v3.7.0 Public | BN | Online | BN | no | BN | User

心跳通信示例

请求：

GET /blacknet/getCommand.php?id=SGFjS2VkX0RFQThCNzA1 HTTP/1.1

响应：

HTTP/1.1 200 OK
...
6
UGluZw
0

（UGluZw解码为Ping）

检测与防御建议

检测特征

频繁的getCommand.php?id=请求
固定的通信载荷模式（如Ping/Pinged）
特定的Base64编码参数
已知的C&C域名/IP

防御措施

监控异常进程（如watcher.exe）
检测反调试/反虚拟机行为
拦截已知的BlackNET通信特征
更新防病毒软件特征库
用户教育防范钓鱼攻击

总结

BlackNET是一个功能全面的开源僵尸网络框架，具有高度可配置性和多种恶意功能。通过分析其技术实现和通信模型，可以有效检测和防御此类威胁。安全研究人员应持续关注其更新版本，以应对可能的变种和新技术。

BlackNET僵尸网络攻击场景复现及通信模型剖析概述 BlackNET是一个开源的僵尸网络框架，分为WEB面板控制端和远控木马编译器两部分。该框架支持多种恶意功能，包括反虚拟机、反调试、网络传播、文件捆绑等，并能下发39种远控指令，如DDOS攻击、挖矿、远程shell等。 BlackNET僵尸网络框架 WEB面板控制端功能管理僵尸网络木马下发远控指令日志记录远控木马编译器功能自定义配置木马程序支持多种传播和执行方式框架目录剖析 WEB面板控制端目录 plugins/ 目录包含可疑文件： FileSearcher.dll PasswordStealer.dll PluginExample.dll xmrig.exe （挖矿程序）远控木马编译器目录 stub.exe ：原始木马程序 watcher.exe ：守护程序，用于启动Client.exe木马程序 BlackNET攻击场景复现生成木马配置选项 Main Settings BN URL ：C&C地址 Victim ID ：上线ID MUTEX ：互斥对象 Spiltter ：拆分上线信息的字符串 Persistence ：持久化配置 Add to Startup / Add to Scheduled tasks ：自启动 Stealth Mode ：安装至指定目录 Enable Watchdog ：守护程序 Delay Execution ：延迟执行 Critical Process Extra Features Dropbox Spread / OneDrive Spread / USB Spread ：传播方式 Elevate UAC ：使用UAC提升权限 Anti-Debugging ：反调试 Bypass VM ：反虚拟机 AES Encryption ：加密BN URL配置信息 StartKeylogger ：键盘记录 Disable WD ：关闭Windows Defender Debug Mode ：调试模式 Binder Settings 文件捆绑并运行外链下载并运行自定义图标编译格式支持： .EXE 、 .BAT 、 .CMD 、 .SCR 、 .PIF 木马上线流程在受控主机运行 Client.exe 木马连接C&C服务器在WEB面板显示上线主机 BlackNET木马详细剖析配置信息映射 | Builder配置页面 | 木马配置信息 | 备注 | |----------------|-------------|------| | BN URL | Host | C&C地址 | | Delay Execution | DelayCodeStatus/DelayCodeTime | 延迟执行 | | Spiltter | Y | 拆分上线信息字符串 | | Victim ID | ID | 上线ID | | Add to Scheduled tasks | ASchtask | 自启动 | | ... | ... | ... | 关键技术实现 AES Encryption 使用PBKDF2算法生成AES的IV和KEY Base64解码加密数据 AES CBC解密外链C&C Enable Watchdog 释放 watcher.exe 程序根据描述信息"Windows Update Assistant"查找 Client.exe 检测并确保 Client.exe 运行 BypassScanning（反调试）检测以下内容：特定进程（procexp, SbieCtrl等）系统盘大小 XP环境 VMware/VirtualBox环境调试状态 Sandboxie环境 Downloader功能 Binder Settings ：从资源段释放捆绑程序 Downloader ：从外链下载载荷文件远控功能详解 | WEB面板指令 | 木马指令 | 备注 | |------------|---------|------| | Ping | Ping | 心跳通信 | | Show Messagebox | ShowMessageBox | 弹框 | | Take Screenshot | Screenshot | 截屏 | | ... | ... | ... | 重点功能实现 StartDDOS 支持7种攻击方式： UDPAttack ：ping.Send SlowlorisAttack ："POST / HTTP/1.1\r\nHost: " ARMEAttack ："HEAD / HTTP/1.1\r\nHost: " TCPAttack ：socket.Connect(remoteEP) HTTPGetAttack ：webClient.DownloadString BWFloodAttack ：webClient.DownloadString PostHTTPAttack ：webClient.UploadString XMRMiner 运行 xmrig.exe 挖矿程序从C&C服务器下载挖矿配置 RemoteShell 执行攻击者下发的shell命令返回执行结果 Screenshot 截取受控主机屏幕上传截图到C&C服务器 BlackNET通信模型剖析通信流程检查C&C存活： check_panel.php 上线通信： connection.php （上传系统信息）心跳请求：循环 getCommand.php?id= （获取指令）执行指令结果上报： receive.php?command=CleanCommands 等通信特征 URL参数编码： Base64编码将 + 替换为 - 将 / 替换为 _ 解码过程相反上线通信载荷示例解码后：心跳通信示例请求：响应：（ UGluZw 解码为 Ping ）检测与防御建议检测特征频繁的 getCommand.php?id= 请求固定的通信载荷模式（如Ping/Pinged）特定的Base64编码参数已知的C&C域名/IP 防御措施监控异常进程（如watcher.exe）检测反调试/反虚拟机行为拦截已知的BlackNET通信特征更新防病毒软件特征库用户教育防范钓鱼攻击总结 BlackNET是一个功能全面的开源僵尸网络框架，具有高度可配置性和多种恶意功能。通过分析其技术实现和通信模型，可以有效检测和防御此类威胁。安全研究人员应持续关注其更新版本，以应对可能的变种和新技术。