{
	"id": "e7782a6c-b9b2-4a22-b7f4-19b0daa98758",
	"created_at": "2026-04-06T00:12:41.375224Z",
	"updated_at": "2026-04-10T03:21:00.573367Z",
	"deleted_at": null,
	"sha1_hash": "a01bb35629ba578958bebb307b551df4c7dfe37b",
	"title": "国家互联网应急中心",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 285815,
	"plain_text": "国家互联网应急中心\r\nArchived: 2026-04-05 13:46:42 UTC\r\n      本报告由国家互联网应急中心（CNCERT）与北京奇虎科技有限公司（360）共同发布。\r\n      一、概述\r\n        CNCERT监测发现从2020年以来P2P僵尸网络异常活跃，如Mozi、Pinkbot等P2P僵尸网络家族在2020\r\n年均异常活跃，感染规模大、追溯源头难且难以治理，给网络空间带来较大威胁。\r\n2021年5月31日，CNCERT和360捕获到一个全新的使用自定义P2P协议的僵尸网络，其主要功能为\r\nDDoS。（当前很多杀毒引擎将其识别为Mirai或Gafgyt家族，我们将之命名PBot）。\r\n      二、相关样本分析\r\n（一）僵尸网络组织结构\r\n        Pbot最独特的地方在于它实现了P2P网络通信，基于对Bot样本和控制端的逆向分析，它的简化网络结\r\n构如下所示：\r\n        事实上Pbot的功能比较简单，执行时首先会在Console输出[main]  bot  deployedrn字样，然后通过绑定\r\n本地端口实现单一实例，接着通过算法解密出BootNode、身份认证KEY等敏感的资源信息，最后通过\r\nhttps://www.cert.org.cn/publish/main/11/2021/20210628133948926376206/20210628133948926376206_.html\r\nPage 1 of 4\n\nBootNode节点加入到P2P网络中，等待执行ControlNode下发的指令，主要有指令中DDoS攻击，开启telnet\r\n扫描传播等。其中支持的DDoS攻击方法如下所示：\r\n（1）attacks_vector_game_killer：UDP  DDos攻击，连续发送768个随机字串；\r\n（2）attacks_vector_nfo_v6：使用特定Payload对nfo务器发起TCP  DDoS攻击；\r\n（3）attacks_vector_plainudp：UDP  DDos攻击，连续发送511个随机字串UDP包500次；\r\n（4）attacks_vector_plaintcp：TCP  DDoS攻击，连续发送511个随机字串TCP包2500次；\r\n（5）attacks_vector_l7_ghp：HTTP  DDoS攻击，连续发送HTTP数据包500次。\r\n（6）attacks_vector_ovh_l7：  使用特定Payload对OVH服务器发起HTTP  DDoS攻击。\r\n        BootNode，是一个超级节点，除了与各Bot相同的p2p通信功能之外，还具有以下功能：\r\n（1）统计各Peer信息（Peer会向它注册，上传自身信息）；\r\n（2）协助各Peer间寻找对方，BootNode保存了大量的P2P  Peers列表，Bot向其注册后，可以请求一部分\r\n节点信息分享给Bot；\r\n（3）承载样本，恶意shell脚本的下载服务。\r\n而ControlNode，则是管理节点，主要功能为向节点发送具体的指令，如DDoS攻击，开启扫描等。\r\n（二）传播方式\r\n        该家族样本主要通过SSH/Telnet弱口令以及一些NDay漏洞传播。相关NDay漏洞如下：\r\n（三）感染规模\r\n      通过监测分析发现，该僵尸网络日均活跃Bot数在一千台以上。\r\nhttps://www.cert.org.cn/publish/main/11/2021/20210628133948926376206/20210628133948926376206_.html\r\nPage 2 of 4\n\n三、相关IOC\r\n      样本MD5：\r\n0e86f26659eb6a32a09e82e42ee5d720\r\n3155dd24f5377de6f43ff06981a6bbf2\r\n3255a45b2ebe187c429fd088508db6b0\r\n3484b80b33ee8d53336090d91ad31a6b\r\n769bc673d858b063265d331ed226464f\r\n8de9de4e14117e3ce4dfa60dacd673ef\r\n9cb73e83b48062432871539b3f625a21\r\nd209fe7d62f517de8b1cf1a5697e67c2\r\ne84a59bb18afff664e887744d8afebd0\r\n      下载链接：\r\nhttp://205.185.126.254/bins/controller.x86\r\nhttp://205.185.126.254/bins/exxsdee.arm7\r\nhttps://www.cert.org.cn/publish/main/11/2021/20210628133948926376206/20210628133948926376206_.html\r\nPage 3 of 4\n\nhttp://205.185.126.254/bins/exxsdee.i586\r\nhttp://205.185.126.254/ssh.sh\r\nhttp://205.185.126.254:80/bins/crsfi.arm\r\nhttp://205.185.126.254:80/bins/exxsdee.arm\r\nhttp://205.185.126.254/korpze_jaws.sh\r\nhttp://205.185.126.254/korpze.sh\r\nhttp://205.185.126.254/sv.sh\r\nhttp://205.185.126.254/korpze_jaws.sh\r\nhttp://205.185.126.254///exxsdee.mpsl\r\nhttp://monke.tw/armz.sh\r\nhttp://monke.tw/u\r\nSource: https://www.cert.org.cn/publish/main/11/2021/20210628133948926376206/20210628133948926376206_.html\r\nhttps://www.cert.org.cn/publish/main/11/2021/20210628133948926376206/20210628133948926376206_.html\r\nPage 4 of 4",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.cert.org.cn/publish/main/11/2021/20210628133948926376206/20210628133948926376206_.html"
	],
	"report_names": [
		"20210628133948926376206_.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434361,
	"ts_updated_at": 1775791260,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/a01bb35629ba578958bebb307b551df4c7dfe37b.pdf",
		"text": "https://archive.orkl.eu/a01bb35629ba578958bebb307b551df4c7dfe37b.txt",
		"img": "https://archive.orkl.eu/a01bb35629ba578958bebb307b551df4c7dfe37b.jpg"
	}
}