yankywilson/jdy-tasking-decryption

# JDY 僵尸网络 — 任务解密与基础设施分析 对 **JDY** 僵尸网络加密分发任务的逆向工程，以及对其控制基础设施的有限 枚举。JDY 是属于 **KV-僵尸网络 / 伏特台风 (Volt Typhoon)** 谱系（MITRE **G1017**）的 中国关联侦察能力，由 Lumen Black Lotus Labs 于 2026 年 6 月重新详细披露。 本工作在指令级别恢复了任务解密方案，提供了一个可用的解密器，并独立 证实了已公开的控制集群是有限的。 **分类：** TLP:CLEAR · ICD-203 评估性语言 · 分析结果标记为 **全新 (NOVEL) / 证实 (CORROBORATED) / 已公开 (PUBLISHED) / 排除 (EXCLUDED)**。 ## TL;DR JDY 僵尸网络程序从 Tor 隐藏的分发服务中拉取扫描任务。任务格式为 **base64 → AES → JSON**。对主要 MIPS64 payload 的静态逆向工程恢复了确切的 方案： - **AES-128-CBC**，解密 - **密钥：** `bdb718bdf47cbcde` — 16 个 ASCII 字节，直接使用原始值（未进行 hex 解码） - **IV：** 16 个 ASCII 字符 `0`（`0x30` × 16） - 已公开的“密钥” `0000000000000000bdb718bdf47cbcde` 实际上是 **IV ∥ KEY**，而不是 32 字节密钥。 `tools/jdy_decrypt.py` 实现了该逻辑，并能将捕获的 `probe_task` 主体读取为 明文任务 JSON — 即 JDY 所指向的 IP 范围、端口和 CVE/指纹规则。 控制集群是**有限的**：`jdyfj` 自签名 TLS 证书和 payload 主机的监听器指纹 各自仅解析到已知的节点。未发现 未公开的基础设施。 ## 目录结构 | 路径 | 内容 | |---|---| | [`docs/INTELLIGENCE_REPORT.md`](docs/INTELLIGENCE_REPORT.md) | **分级情报报告** — 战略级 (CISO/领导层)、运营级 (TI/IR)、战术级 (SOC/威胁追踪) | | [`docs/TECHNICAL_WRITEUP.md`](docs/TECHNICAL_WRITEUP.md) | 完整的 RE 演练：Ghidra 锚点、加密调用链、AES-128 与 256 的辨析，以及基础设施扩展分析 | | [`docs/INFRASTRUCTURE.md`](docs/INFRASTRUCTURE.md) | 集群枚举、证书追踪、payload 主机指纹、基于主要证据的排除项 | | [`tools/jdy_decrypt.py`](tools/jdy_decrypt.py) | 任务解密器（AES-128-CBC；IV 自动检测；明显的 PKCS#7 失败报错；`--selftest`/`--demo`） | | [`tools/vt_triage.py`](tools/vt_triage.py) | VirusTotal 关系导出自动标记器；过滤共存干扰，以 IOC 优先排序 | | [`iocs/JDY_IOCs.md`](iocs/JDY_IOCs.md) | 汇总的 IOC 表格，包含首次/末次发现时间及各项声明的标记 | ## 快速开始 ``` # 端到端证明 decryptor（无需输入） python3 tools/jdy_decrypt.py --selftest python3 tools/jdy_decrypt.py --demo # 解密捕获的 probe_task / "content" blob（base64 文本） python3 tools/jdy_decrypt.py task.b64 # 分类 VirusTotal relation 导出（type,id CSV） python3 tools/vt_triage.py vt_export.csv --review-only ``` 环境要求：Python 3，`pycryptodome`（用于运行 `jdy_decrypt.py`）。`vt_triage.py` 仅 需标准库即可运行。 ## 范围与方法 这是一项**防御性**分析。整个调查过程采用被动 OSINT； 二进制文件分析是在隔离主机上进行的基准逆向工程 (RE)。每一项声明都在声明级别进行了标记， AI 辅助的输出被视为线索，需要分析师在 采纳前进行复现验证。解密器通过与已知明文的往返比对进行了验证，而 非基于主观断言。 一项结构性发现贯穿了整个工作：**国家级攻击者通常会利用共享和 通用的基础设施**（共享主机、重用的 VPS、现成的 工具），这会制造出虚假的重叠。在此，我们使用 **身份级别的锚点** — TLS 密钥对和监听器指纹 — 来解决这些问题，而不是依赖 IP 或 域名的共存关系。 ## 归属说明 JDY 是 KV/JDY 谱系中一种**共享的、多参与者侦察能力**，用于 支持包括伏特台风 (Volt Typhoon) 在内的中国关联行动。由于共享基础设施 限制了归属置信度，本分析将 JDY 定义为一种*中国关联的侦察 能力*，而不是断言其为单一攻击者所有。请参阅 [`docs/INFRASTRUCTURE.md`](docs/INFRASTRUCTURE.md) 了解详细推理。 ## 致谢与参考 - Lumen Black Lotus Labs — *扩展的 JDY IoT 和 SOHO 僵尸网络实现快速漏洞 利用*（2026 年 6 月）以及 `blacklotuslabs/IOCs` 代码库 (`JDY_6_2026_IOCs.txt`)。 - Censys — *真正的伏特台风请站起来好吗？*（2026 年 2 月），对 `jdyfj` 证书的独立追踪。 - DCSO CyTec — JDY Tor 管理分析。 - MITRE ATT&CK — 伏特台风 (Volt Typhoon, G1017)。 独立分析。与上述机构无隶属关系或受其认可。按“原样”提供，仅供 防御目的使用。

标签：DNS 反向解析, Ghidra, IP 地址批量处理, pdftotext, 域名收集, 威胁情报, 密码学, 开发者工具, 恶意软件研究, 手动系统调用, 网络安全, 逆向分析, 逆向工具, 隐私保护