{
	"id": "605be7dc-bb03-472d-a9dc-61b57450b8ac",
	"created_at": "2026-04-06T00:09:29.700628Z",
	"updated_at": "2026-04-10T03:19:57.713024Z",
	"deleted_at": null,
	"sha1_hash": "d8abef2748eebdb45d2dbf6ba1c45ee0aa585afc",
	"title": "DGA家族Orchard持续变化，新版本用比特币交易信息生成DGA域名",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2000677,
	"plain_text": "DGA家族Orchard持续变化，新版本用比特币交易信息生成DGA\r\n域名\r\nBy daji\r\nPublished: 2022-08-05 · Archived: 2026-04-05 16:10:38 UTC\r\nDGA是一种经典的botnet对抗检测的技术，其原理是使用某种DGA算法，结合特定的种子和当前日期，定\r\n期生成大量的域名，而攻击者只是选择性的注册其中的极少数。对于防御者而言，因为难以事先确定哪\r\n些域名会被生成和注册，因而防御难度极大。\r\n360 netlab长期专注于botnet攻防技术的研究，维护了专门的DGA算法和情报库，并通过订阅情报的方式与\r\n业界分享研究成果。近期我们在分析未知DGA域名时发现一例不但使用日期，还会同时使用中本聪的比\r\n特币账号交易信息来生成DGA域名的例子。因为比特币交易的不确定性，该技术比使用时间生成的DGA\r\n更难预测，因而防御难度更大。\r\n该技术发现于一个名为Orchard的botnet家族。自从2021年2月份首次检测到该家族以来，我们发现它至少\r\n经历了3个版本的变化，中间甚至切换过编程语言。结合长期的跟踪结果和其它维度的信息，我们认为\r\nOrchard会是一个长期活跃、持续发展的botnet家族，值得警惕。本文将介绍Orchard的最新DGA技术，以\r\n及它这3个版本的发展过程。本文要点如下：\r\nOrchard是一个使用了DGA技术的botnet家族，核心功能是在受害者机器上安装各种恶意软件。\r\n从2021年2月至今，我们先后检测到3个版本的Orchard样本，均使用了DGA技术。\r\nOrchard的DGA算法一直未变，但日期的使用方式一直在变，最新版同时支持使用比特币账号信息\r\n来生成单独的DGA域名。\r\n除了DGA，Orchard还硬编码了C2域名。\r\nOrchard目前仍在活跃，致力于门罗币挖矿。\r\n传播方式、规模以及影响范围\r\nOrchard采用了“硬编码域名+DGA”的冗余C2机制，并且每个版本都硬编码了1个唯一的DuckDNS动态域名\r\n作为C2，根据它们的DGA实现方式和硬编码的域名，我们把已经检测到的Orchard样本分为3个版本：\r\nv1, orcharddns.duckdns.org\r\nv2，orchardmaster.duckdns.org\r\nv3, ojena.duckdns.org\r\n它们的时间线如下：\r\n* 2021年3月，检测到v1版本，使用C++开发。结合历史数据，我们将v1首次出现时间提前到2021年2月。\r\n* 2021年9月，检测到v2版本，它使用Golang和C++编写。\r\n* 2022年7月，检测到v3版本，编写语言回到C++。\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 1 of 17\n\n这3个版本都支持通过感染USB盘的方式进行传播，这一点跟传统的病毒很像，具体实现参考后面的“USB\r\n感染逻辑”部分。理论上，Orchard也完全可以通过其它方式传播。\r\n利用我们的图系统结合PDNS和其它维度的数据，我们发现v1和v2的C2存在明显的共享IP的情况，如下图\r\n所示。\r\n图系统帮我们找到了更多的C2 IP和域名，详见后面的IoC部分，这里的域名特点是都以duckdns.org结尾。\r\nv3因为比较新，没发现其它的关联域名，下面是v3域名的活跃情况。\r\n能看到它是今年5月上线，然后逐渐活跃，目前应该仍然在活跃期内。\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 2 of 17\n\n基于PDNS我们对3个版本的感染规模做了评估，其中v1和v2节点数近千，v3因为出现较晚，节点数不到\r\n500，下面是各个版本域名到具体IP的详细解析数。\r\n# v1, orcharddns.duckdns.org\r\n37, 45.61.185.36\r\n413, 45.61.186.52\r\n1301, 45.61.187.240\r\n207, 205.185.124.143\r\n# v2, orchardmaster.duckdns.org\r\n45, 45.61.185.36\r\n104, 45.61.186.52\r\n659, 45.61.187.240\r\n# v3, ojena.duckdns.org\r\n418, 45.61.185.231\r\n需要强调的是上面的规模数据只是我们视野内看到的，实际的应该要比这更多。\r\n样本分析\r\nOrchard样本在样本层面多使用loader，用于对抗分析和自我保护。目前看到的Orchard loader并不固定，即\r\n使单个版本也会出现多种loader的情况，比如v1版本的Orchard以base64字符串的形式存在于loader中，\r\nv2/v3版本的样本有的以资源文件的形式存放在loader中。各个版本还都曾使用过例如VMP、Enigma等虚\r\n拟壳来保护自身。总的来说，Orchard的工作流程可以用下面的图来总结。\r\nOrchard三个版本的功能基本相同，包括：\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 3 of 17\n\n上传设备及用户信息\r\n响应指令/下载执行下一阶段的模块\r\n感染USB存储设备\r\n下面从DGA算法、C2通信和主机行为等几个维度分别分析3个版本Orchard的核心功能。\r\nv1版本\r\n该版本的分析以MD5=5c883ff8539b8d04be017a51a84e3af8的样本为基础。它在运行时首先释放内嵌的PE\r\n文件到自启动目录下，所释放的PE在内存中进行base64解码得到orchard的数据，随后该PE将\r\nSystem32/SysWOW64下的任一exe作为傀儡进程，来运行保存的orchard代码。该版本Orchard整体逻辑如\r\n下图，主要分为网络通信和USB感染两部分，最终功能取决于C2下发的具体模块，因此orchard本身可以\r\n认为是一个Downloader的角色。\r\n此处主要描述其网络通信过程（三个版本的USB感染逻辑相同，详见USB感染一节）。\r\nC2通信过程较为简单，bot在check-in过程中向C2发送收集到的主机信息，然后等待C2响应的指令。v1版\r\n本所收集信息包括：卷序列号（HWID）、电脑名称、用户名、操作系统名称、系统版本、已安装的捕获\r\n驱动程序名称、杀软信息、父进程文件修改时间、置顶窗口名称及窗口标题等，这些信息\r\n以“[o.r.c.h.a.r.d]”作为分隔符进行拼接后发送，如下图所示。\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 4 of 17\n\nC2响应数据格式一般为“指令+数据”，指令的功能通过指令码指定。下面是一个具体的C2响应，其中\"\r\n[\u0026\u0026]\"代表指令码2，代表下载执行，具体处理过程分为2种：响应数据如果是URL，则下载URL对应的PE\r\n并执行；如果是base64编码的内容，则先解码然后执行解码后的数据。此处响应的数据实际是base64编码\r\n的新版本PE文件，相当于升级，这也表明老版本可能已经废弃。\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 5 of 17\n\nv1版本一共定义了8个指令，指令码与指令字符串的对应关系如下：\r\n1 \\[=]\r\n2 \\[\u0026\u0026]\r\n3 \\[##]\r\n4 \\[###]\r\n5 \\[%%]\r\n6 \\[%%%]\r\n7 \\[#\\_#]\r\n8 \\[\\_\\_\\] \\[\u003e\u003e] \\[\u003c\u003c] \\[^^] \\[\\*\\] \\[\\~\\] \\[@] \\[!] \\[#\\*\\#\\] \\[#@#]\r\n由于某些指令置空，8个指令实际对应三种操作（后续版本大同小异）：\r\n指令码1和2：判断响应数据为URL或者PE，如果是URL则下载执行，如果是PE，则创建进程执行\r\n（CreateProcess创建进程、傀儡进程、远程线程注入等）。\r\n指令码3、4、8：终结当前进程删除原始文件，或者重新启动。\r\n指令码7：再次收集C2、port、PID、文件名信息向C2进行发送，示例：\r\norcharddns.duckdns.org[o.r.c.h.a.r.d]5890[o.r.c.h.a.r.d]2260[o.r.c.h.a.r.d]stage-3_.exe[o.r.c.h.a.r.d]\r\nDGA算法\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 6 of 17\n\nv1的DGA以日期字符串（比如“2022/07/05”）作为输入，计算其MD5值，然后将MD5字符串均分成长度为\r\n8的四个子字符串，依次与 .com、.net、.org、.duckdns.org 这4个后缀拼接，得到每天4组16个DGA域名，\r\n算法实现如下。\r\n# 2021/04/15\r\nimport datetime\r\nimport hashlib\r\ndays=30\r\nfor i in range(0, days):\r\n datex = (datetime.datetime.now() - datetime.timedelta(days=i)).strftime('%Y/%m/%d')\r\n print(\"seed: \", datex)\r\n md5 = hashlib.md5(datex.encode()).hexdigest()\r\n print('md5: ', md5)\r\n dga_list = []\r\n dga_list.append(md5[:8])\r\n dga_list.append(md5[8:16])\r\n dga_list.append(md5[16:24])\r\n dga_list.append(md5[24:32])\r\n for j in range(len(dga_list)):\r\n print(dga_list[j] + '.com')\r\n print(dga_list[j] + '.net')\r\n print(dga_list[j] + '.org')\r\n print(dga_list[j] + '.duckdns.org')\r\n示例域名如下：\r\nseed: 2022/07/05\r\nmd5: 91ac64d29f78281ad802f44648b2137f\r\n91ac64d2.com\r\n91ac64d2.net\r\n91ac64d2.org\r\n91ac64d2.duckdns.org\r\n9f78281a.com\r\n9f78281a.net\r\n9f78281a.org\r\n9f78281a.duckdns.org\r\nd802f446.com\r\nd802f446.net\r\nd802f446.org\r\nd802f446.duckdns.org\r\n48b2137f.com\r\n48b2137f.net\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 7 of 17\n\n48b2137f.org\r\n48b2137f.duckdns.org\r\nv2版本\r\nv2版本出现了两种编程语言实现的样本，分别是Golang和C++，但是功能相同。这里的分析以\r\nMD5=f3e0b960a48b433bc4bfe6ac44183b74的Golang样本为例，它的C2初始化函数如下图所示，能明显看\r\n到硬编码的C2域名。\r\nv2版本开始使用json格式，字段含义相对清晰。其收集的信息跟v1大致相同，包括：卷序列号\r\n（HWID）、电脑名称、用户名、系统版本、杀软信息、活动窗口信息等，新增的字段有：.net框架版本\r\n（比如v2.0.50727）、USB 状态、发包类型及自身版本。下面是一个实际观察到的版本号信息，\r\nBot_Version=1.2/G可能的解释为：版本=v1.2，编写语言=Golang。\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 8 of 17\n\nv2版本的C++语言样本集成了同样的C2，上线包中的版本信息则变成了“Bot_version:1/C”，它所收集的信\r\n息如下图所示。\r\n根据代码相似性分析，v2版本的C++样本跟后来的v3版本代码同源，说明后者是从前者进化而来。\r\nv2版本一共有两种指令：\r\n指令1：终结当前进程删除原始文件，或者重新启动。\r\n指令2：判断响应数据为URL或者PE，如果是URL则下载执行，如果是PE，则创建进程执行\r\n（CreateProcess创建进程、傀儡进程、远程线程注入等）。\r\nDGA算法\r\nv2版本的DGA算法跟v1相同，差别在于对日期字符串的处理，v2会在日期字符串后拼接硬编码的域\r\n名“orchardmaster.duckdns.org”，形如“2022/07/05orchardmaster.duckdns.org\"，然后套用v1版本的DGA算法\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 9 of 17\n\n生成域名。\r\nv3版本\r\nv3的开发语言回到C++编写，同样包括C2通信和USB感染功能。C2通信逻辑在一个线程中运行，同时该\r\n线程还包括一个跟XMRig挖矿绑定的辅助线程，当Orchard接收完毕下发的XMrig程序并创建傀儡进程运\r\n行之后，辅助线程会向C2再次发送挖矿相关的硬件信息，尝试从C2读取挖矿软件的配置，目的是为了检\r\n查是否需要动态修改XMRig运行时的配置（XMRig提供了一套HTTP api，支持动态读取并修改运行时的\r\n挖矿配置）。\r\n以MD5=cb442cbff066dfef2e3ff0c56610148f的样本为例，C2通信功能如下。\r\nv3版本在C2通信中同样使用json格式来保存主机信息，发送数据的整体结构为\r\nByte_0x46+TotalLen+InfoLen+Info.json。相比v2，v3增加了多个跟挖矿相关的字段，收集的信息包括：\r\nActive_Window：当前活动窗口名称\r\nAntivirus：杀软信息\r\nAuthentiate_Type：Windows身份验证类型\r\nCPU_Model：CPU信息\r\nCamera：是否存在摄像头\r\nElevated：是否是管理员权限\r\nGPU_Models：显卡信息\r\nIdentity：HWID\\用户名\\电脑名称\r\nOperating_System：系统版本信息\r\nRam_Size：运行内存大小\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 10 of 17\n\nSystem_Architecture：处理器个数\r\nThreads：每个处理器内核个数\r\nVersion：Orchard版本\r\nv3的上线包实例如下所示。\r\nC2响应消息的body部分也为json格式，其结构为：TotalLen.dword+\r\nByte0x46+TotalLen+RespDataLen+RespData.json。v3支持8个指令，对应3种操作：\r\n指令1：收集主机信息/自身运行状态并发送到C2（字段包括Domain、In_Memory、Install_Path、\r\nIs_Patched、Message_Type、Patch_Name、Port、Power_SaverMode、Process_ID、Process_Name、\r\nProcess_Path、System_Idle、System_Uptime）\r\n指令4、6：终结当前进程删除原始文件，或者重新启动。\r\n指令7、8：下载\u0026执行下发的矿机程序\r\n下面是一个实际跟踪到的C2响应指令。\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 11 of 17\n\n其中Transfer_Port表示希望主机再次向2929进行请求，Message_Type表示指令码，其值为7，表示下载\u0026执\r\n行。\r\n收到上述指令后，bot再次向C2的TCP 2929端口发起请求，Cuda是Nvidia推出的只能用于自家GPU的并行\r\n计算框架，这里的Cuda_Version为0表示不支持Cuda。\r\n随后C2响应一个XMRig矿机程序，Client接收保存后根据指令7将XMRig注入傀儡进程开始执行挖矿工\r\n作。\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 12 of 17\n\n分析过程中我们发现v3版本最近在持续分发一个同样的XMRig挖矿程序，后者集成了默认的挖矿配置信\r\n息，私有矿池地址：45.61.187.7:7733\r\nDGA算法\r\nv3的DGA算法未变，但输入的变化较大。实际上它会生成两组DGA域名，第一组域名的输入拼接算法是\r\n日期字符串+“ojena.duckdns.org”， 形如 “2022-08-02ojena.duckdns.org”。第二组域名的输入为\r\nhttps://blockchain.info/balance?active=1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa 这个URL的返回结果，一\r\n个典型的返回结果如下所示：\r\n{\"1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa\":\"final_balance\":6854884253,\"n_tx\":3393,\"total_received\":6854884253}}\r\n相关字段的含义可以参考Blockchain的API手册：\r\nn_tx：交易数量\r\ntotal_received：接收比特币总量\r\nfinal_balance：最终余额\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 13 of 17\n\n值得强调的是v3版本并未对返回的结果进行解析，而是作为整体直接输入DGA算法来生成域名。而钱包\r\n地址 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa 据说是中本聪本人所持有的比特币创世地址。过去的十几年\r\n间，由于各种原因，每天都会有人向该钱包转入小量比特币，因此它是变化的，并且该变化很难预测，\r\n因此该钱包的余额信息也可以作为DGA输入。\r\n在我们编写文章时，发现近期已有其他研究人员注意到v3版本这种将比特币账号交易信息用作DGA输入\r\n的现象，所分析结果与我们一致，但对方并没有注意到Orchard其实早已出现。\r\n完整的v3版本DGA算法如下：\r\n# 2022/07/05\r\nimport datetime\r\nimport requests\r\nimport hashlib\r\n# cluster 1\r\ndays = 30\r\nfor i in range(0, days):\r\n domains = ['ojena.duckdns.org', 'vgzero.duckdns.org']\r\n for do in domains:\r\n datex = (datetime.datetime.now() - datetime.timedelta(days=i)).strftime('%Y-%m-%d' + do)\r\n print(\"seed_1: %s\" % datex)\r\n md5 = hashlib.md5(datex.encode()).hexdigest()\r\n print(\"md5: %s\" % md5)\r\n \r\n dga_list = []\r\n dga_list.append(md5[:8])\r\n dga_list.append(md5[8:16])\r\n dga_list.append(md5[16:24])\r\n dga_list.append(md5[24:32])\r\n for j in range(len(dga_list)):\r\n print(dga_list[j] + '.com')\r\n print(dga_list[j] + '.net')\r\n print(dga_list[j] + '.org')\r\n print(dga_list[j] + '.duckdns.org')\r\n# cluster 2\r\nurl = 'https://blockchain.info/balance?active=1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa'\r\nres = requests.get(url)\r\nwallet_info = res.text\r\nprint('seed_2: %s' % wallet_info)\r\nmd5 = hashlib.md5(wallet_info.encode()).hexdigest()\r\nprint('md5: %s' % md5)\r\ndga_list = []\r\ndga_list.append(md5[:8])\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 14 of 17\n\ndga_list.append(md5[8:16])\r\ndga_list.append(md5[16:24])\r\ndga_list.append(md5[24:32])\r\nfor j in range(len(dga_list)):\r\n print(dga_list[j] + '.com')\r\n print(dga_list[j] + '.net')\r\n print(dga_list[j] + '.org')\r\n print(dga_list[j] + '.duckdns.org')\r\nUSB感染逻辑\r\nOrchard的文件感染并非传统的代码插入，而是一种文件替换。当检测到USB存储设备时，Orchard会在设\r\n备根目录下创建隐藏目录，遍历所有文件进行感染，并将感染前和感染后的文件都备份到该隐藏目录\r\n下，被感染对象在感染时去掉了类型属性，感染后全部变为exe类型，并追加了.exe后缀，变成了可执行\r\n文件。随后样本会复制自身到被感染目录下并随机命名，该字符串保存到了被感染文件的资源里。当设\r\n备中的被感染文件在新系统中被用户执行后，则会启动隐藏目录中的样本文件，达到感染传播的目的。\r\nUSB感染过程会涉及两个内嵌的PE文件，第一个文件是DLL文件，会被释放到%LocalAppData%目录下，\r\n该DLL被Orchard称作CGO_Helper，主要用于提取和替换被感染文件的图标，其MD5是\r\n10D42F5465D5D8808B43619D8266BD99。第二个文件是exe文件，MD5为\r\nf3c06399c68c5fdf80bb2853f8f2934b，作为存储感染代码的模板文件，被感染文件的全部数据将被替换为\r\n该模板文件的数据。该模板的功能是根据资源中的exe名称寻找隐藏目录下对应的exe启动执行，所以被感\r\n染文件的资源中保存的是备份的Orchard样本名称。\r\nUSB感染情况示例如下，被感染文件资源中保存了Orchard样本的名称，当用户点击受感染的exe，将启动\r\n隐藏目录下的Orchard样本文件：\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 15 of 17\n\n总结\r\nOrchard是一个使用了DGA技术的botnet家族，最新版本致力于挖矿，并开始使用中本聪的比特币账号交\r\n易信息这类更难预测的信息作为DGA的输入，增加了检测难度。在1年多的时间里，Orchard先后出现了\r\n至少3个不同版本，编程语言和DGA实现都有变化，这说明Orchard是一个仍处于活跃期的botnet家族，预\r\n计后续会有更多的变种出现，值得我们警惕。对Orchard我们会持续保持关注，有新的发现会继续公开。\r\n联系我们\r\n感兴趣的读者，可以在 twitter 或者通过邮件netlab[at]360.cn联系我们。\r\nIOCs\r\nC2\r\norcharddns.duckdns.org\r\norchardmaster.duckdns.org\r\nojena.duckdns.org\r\nvgzero.duckdns.org\r\nvictorynicholas.duckdns.org\r\nzamarin1.duckdns.org\r\n45.61.185.36\r\n45.61.186.52\r\n45.61.187.240\r\n205.185.124.143\r\n45.61.185.231\r\nMD5\r\n5c883ff8539b8d04be017a51a84e3af8\r\nf3e0b960a48b433bc4bfe6ac44183b74\r\n9cbe4bd27eba8c70b6eddaeb6707659b\r\ncb442cbff066dfef2e3ff0c56610148f\r\n10D42F5465D5D8808B43619D8266BD99\r\nf3c06399c68c5fdf80bb2853f8f2934b\r\n19159280736dbe6c11b7d6a57f6bb7b9\r\nb5a6f78d5575a60316f4e784371d4f8c\r\n3c20ba851edecd28c198691321429883\r\n2b244a39571ab27f7bb4174d460adeef\r\nae1e9b3621ee041be6ab5e12bff37c53\r\n00b1620f89b7980b34d53737d9e42fd3\r\n4d2445a43591d041cabbbf3dfca6dfbd\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 16 of 17\n\n私有矿池\r\n45.61.187.7:7733\r\nSource: https://blog.netlab.360.com/orchard-dga/\r\nhttps://blog.netlab.360.com/orchard-dga/\r\nPage 17 of 17",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://blog.netlab.360.com/orchard-dga/"
	],
	"report_names": [
		"orchard-dga"
	],
	"threat_actors": [],
	"ts_created_at": 1775434169,
	"ts_updated_at": 1775791197,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/d8abef2748eebdb45d2dbf6ba1c45ee0aa585afc.pdf",
		"text": "https://archive.orkl.eu/d8abef2748eebdb45d2dbf6ba1c45ee0aa585afc.txt",
		"img": "https://archive.orkl.eu/d8abef2748eebdb45d2dbf6ba1c45ee0aa585afc.jpg"
	}
}