在和C2服务器建立通信之后，执行启动流程：解密字符串资源、发送CPU架构名称到C2服务器、进程名伪装、自拷贝至/usr/bin/BoxBusy。

随后进入循环，执行select函数，接收执行C2下发的指令。需要指出的是，在循环函数里，AuthBot会获取父进程所打开的文件名称。如果所打开的文件名称包含“/proc/”或者“socket:[”，则把父进程名称加密发送给C2，同时尝试kill父进程。这是在尝试检测调试器或者沙箱沙箱环境特征。

2、通信协议

AuthBot和C2的通信协议并不复杂，只需要4轮即可与C2建立通信。AuthBot和C2的通信数据经过两层加密，外层是异或，内层采用其自己实现的数学运算方式加密，具体加、解密算法的伪代码分别如下：

以下是运行样本实际流量：

Step1：Bot→C2

AuthBot生成8到15字节的随机字符串作为XOR密钥，用于后续通信加密。接着异或加密字符串"AuthBot "，把XOR密钥字符串和密文拼接起来，并使用自定义算法加密它们，发送至C2。

以上述截图里的数据为例，“a78f928fa5a799979d9daa908e8f9b28421a160d431e256f”经过内层算法解密后是“7763666375776B696F6F786462636D203616120B37181F49”。

其中“wcfcuwkiooxdbcm”是之前生成的随机XOR密钥，“3616120b37181f49”异或密文，解密之后正是“AuthBot”。如下：

Step2：C2→Bot

C2返回17字节加密数据，经过异或和自定义算法解密后为“Accepted GoAwayMr”。前8字节“Accepted”表明连接C2成功， “GoAwayMr”同样是密钥，用于解密自身加密字符串。

以上述截图里的数据为例，“12ece9f2d5d3faf94704e501c5eec604c1”经过异或解密之后，是“658f8f91a0a49190286b9d65a78dab73a2”。

658f8f91a0a49190286b9d65a78dab73a2”经过自定义算法解密后正是“Accepted GoAwayMr”。自定义算法解密如下：

Step3：Bot→C2

AuthBot拼接CPU架构字符串“x86_64”和“yarn”，经过两层加密发送给C2。

Step4：Bot→C2

AuthBot向C2发送自身进程的一些权限信息等，如是否对/usr/bin/目录有写权限，是否为root权限运行等。权限数据只经过了XOR加密。XOR解密如下：