近期，广州大学、国家工业信息安全发展研究中心与杭州海康威视数字技术股份有限公司安全研究团队在研究过程中捕获到一例具有显著特征的病毒样本，该样本具有独特的攻击手法和高度的隐蔽性，根据其在下载服务器上的文件命名，该样本被命名为 darka5。经过对该样本的深入分析，研究团队发现其不仅运用了先进的加密技术，还具备复杂的网络通信混淆手段，使得追踪和防御工作面临巨大挑战。

本报告将详细剖析 darka5 恶意家族样本的关键特征，涵盖其攻击向量、下载器行为、数据加密差异、通信流量混淆以及特殊的隐蔽手段，旨在为网络安全专家和防御者提供深入的见解，以更好地理解和应对这一新兴安全威胁。

一   样本分析

（一）攻击向量

darka5 是一个通过 IoT 设备命令执行漏洞进行传播的恶意样本，研究团队通过物联网威胁诱捕系统成功捕获该样本，其投递方式较为复杂，通过分析捕获所得攻击日志可知，攻击者首先通过 echo 的方式实现样本文件的拼接，然后写入一个微型下载器，最终通过该下载器进行攻击样本的下载和执行。攻击载荷如下图所示：

攻击源 IP 为 109.205.213.198，经公开信息追溯，该 IP 最早的活跃时间为 2023 年 12 月 27 日：

（二）下载器分析

基于对攻击向量的分析，研究团队成功还原出大小为 1980 字节的 ELF 文件，该文件未使用 libc，推测其使用汇编语言编写。完整的函数列表如下：

在主函数中，该程序尝试通过 HTTP 协议从远程服务器（http://2.57.122.83:80/darka5）下载文件到本地的 /dev/.j 目录下：

（三）数据加密差异

通过分析，darka5 样本采用了 ChaCha20 加密算法，该样本基于 Mirai 修改而来，与 2023 年 360 Netlab 曾分析过的 Rimasuta 样本相似，同样引入了 ChaCha20 算法，但仅限于常量字符串加密。

ChaCha20 算法所使用的 Key 和 Nonce 硬编码在常量段：

在 Key 实际使用时，会先经过异或后再传入 ChaCha20 加密函数：

解密后，该样本的常量字符串表如下：

（四）通信流量混淆

在 darka5 样本中，对于 Key 的异或手段同样用在了与 C2 通信的过程中。当解析来自 C2 的攻击指令时，该样本会将流量内容与 0x82 异或操作，以还原出原始的攻击者指令：

（五）特殊的隐蔽手段

通过对 darka5 样本进行深入分析发现，该样本使用了较为特殊的 C2 连接方式。darka5 样本具有一个统一的函数入口，用来返回即将要连接的 C2 服务器。该函数使用了加密常量表中存储的域名：iwant.coin、chongwa.bazar、packetsyikes.lib、qq.com、git.hbmc.net，以及端口：8338、9944、3177。在连接 C2 服务器的函数时，会根据连接失败的次数随机选择不同的域名：

除根据域名重试次数和随机数选择域名之外，darka5 样本在解析域名的方式上亦呈现出与以往常见病毒的不同之处。通过逆向分析发现该样本在选择五个域名之中的任意一个之后，还会随机选择一个硬编码的 DNS 服务器来进行域名解析，以此提高域名解析的成功率。可能选择的 DNS 服务器列表如下：

在经过上述 C2 服务器地址解析过程后，如若 C2 服务器解析或者连接失败，darka5 样本将自动增加重试计数，并影响下一次 C2 服务器的解析逻辑，此过程将持续进行，直至成功解析并连接到 C2 服务器为止。

在这种 C2 服务器解析的逻辑机制中，涉及多个具有不确定的变量因素，包括重试失败的次数、随机选取的域名结果以及随机选择的 DNS 服务器，这些变量因素均会对最终解析到的 C2 地址产生影响。同时，在这种随机选择和重试的机制下，C2 服务器信息的隐蔽性得到了显著提升。darka5 样本能够成功迷惑各类沙箱服务，使其在有限的分析时间内提取到错误的 C2 服务器信息。

二 总结

darka5 样本运用多种技术手段，使其在与常规 Mirai 样本相比，展现出明显的差异性。无论是常量表使用 ChaCha20 算法加密，还是控制指令混淆，或是特殊的 C2 解析方式，这些特征都极大地增加了样本分析的难度，使得现有的自动化分析流程难以从中提取出有价值的信息。此外，根据捕获到的攻击向量分析，该病毒开发者显然擅长追踪和利用新漏洞，对此病毒家族后续可能造成的更大影响与危害，需予以高度警觉。

三 loc

注：该成果源自广州大学牵头的国家重点研发计划项目（2022YFB3104100）中的课题四 " 高质量攻击数据诱捕与分析关键技术及系统 "（2022YFB3104104），旨在构建面向大规模物联网攻击威胁的主动防护能力。