一种复杂的新型后门恶意软件已经从阴影中出现,它在 20 多个月内未被发现地运行,同时通过巧妙的双模式激活系统渗透到网络中。
MystRodX 最初被发现伪装成 Mirai 变体,代表了隐形恶意软件设计的重大演变,利用 DNS 查询和 ICMP 数据包作为秘密通信通道来规避传统的安全措施。
该恶意软件于 2025 年 6 月 6 日首次出现,当时从 IP 地址 139.84.156.79 检测到可疑活动,分发名为 dst86.bin 的 ELF 文件。
尽管传统扫描程序将其归类为 Mirai,在 VirusTotal 上的检测率仅为 4/65,但事实证明该威胁与已知的 Mirai 毒株完全不同。
XLab 的网络威胁洞察和分析系统分析师通过高级行为分析确定了这种威胁的真实性质,揭示了一个具有前所未有的隐身能力的复杂 C++ 后门。
MystRodX 的与众不同之处在于其被动作模式,恶意软件可以在不绑定到网络端口的情况下保持完全休眠状态,这使得标准网络监控工具几乎不可见。
该威胁通过复杂的三层加密策略运行,对虚拟机检测字符串采用单字节异或,对 AES 密钥和触发数据包采用自定义转换算法,对配置数据采用 AES CBC 模式。
这种多层方法可确保即使发现部分恶意软件,敏感组件也能受到保护。
该恶意软件的配置显示激活时间戳可追溯到 2024 年 1 月 7 日,表明在受感染的系统中进行了广泛部署。
已在野外发现了三个活跃的命令和控制服务器,有证据表明还有其他未被发现的活动利用不同的 RSA 密钥对进行不同的攻击作。
基于 DNS 的激活机制
MystRodX 最具创新性的功能在于其 DNS 触发的激活系统,该系统将看似良性的 DNS 查询转换为复杂的命令向量。
该恶意软件使用原始套接字监控传入的网络流量,分析遵循特定格式的 DNS 请求:www.DomainName.com,其中域名包含编码的激活说明。
当恶意软件遇到包含特制域的 DNS 查询时,激活过程就开始了。
例如,像“www.UBw98KzOQyRpoSgk5+ViISKmpC6ubi7vao=.com“作为触发机制。
编码部分经过 Base64 解码,生成包含激活有效负载的 32 字节密文。
该恶意软件使用具有预定义魔术值(0x0d 和 0xaa)的专有转换算法,解密此有效负载以揭示关键作参数,包括魔术标识符“CAT”、协议规范 (TCP/HTTP)、目标端口号和命令和控制服务器 IP 地址。
# Transform algorithm implementation
def transform(magic, magic2, buf, key):
buf_len = len(buf) - 1
key_len = len(key)
key1 = magic ^ calc_sum(key)
key2 = (key[(key1^buf_len)%key_len]) ^ magic2 ^ buf_len
out = bytearray()
for i, value in enumerate(buf):
out.append((key[(i^key1)%key_len] ^ key2 ^ value ^ i) & 0xff)
return out成功激活后,MystRodX 将与指定的命令和控制基础设施建立通信,从其被动监视状态过渡到能够进行文件管理、反向 shell作、SOCKS 代理功能和端口转发功能的主动后门。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
