快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

XorDDoS家族最新变种来袭

概述

近来接到某客户反馈Linux服务器存在异常流量以及可疑进程,深信服EDR安全团队迅速出击,拿获到了相应的恶意样本,通过阐发确认此样本是Linux.XorDDoS恶意样本的最新变种,感染方式以及遥程恶意服务器地址均发生了改变。

此样本在VT上的截图信息,以下所示:

图片.png

样本简介

2014年9月底,MalwareMustDie发现Linux.XorDDoS,它构成了分布式拒尽服务攻击的僵尸收集,Linux.XorDDoS恶意家族首要特点是,用暴力猜解目标主机ssh弱暗码的方式,入侵目标主机,然后执行相应的shell脚本装置Linux.XorDDoS恶意家族和恶意RootKit感染客户主机。

Linux.XorDDoS运行以后,会通过fork创建子进程,然后结束掉父进程,并创建相应的守护进程,然后删除自身,拷贝自身到相应的目录下,同时样本运用了“多态”的方式,在相应的目录不断生成随机文件名的恶意程序,运行以后又删除自身,导致安全人员在查找相应的恶意程序时,老是定位不到相应的文件,进程列表也不断发生改变,同时Linux.XorDDoS会行使RootKit手艺隐躲相应的IP地址端口号,然后通过与遥程服务器进行通讯,返归相应的数据包,解密以后,对相应的服务器IP地址提议DDOS攻击。

样本阐发

1.查看恶意样本文件类型,为Linux32位程序,以下图所示:

图片.png

2.通过反汇编,查看Main函数以下所示:

图片.png

病毒会先配置相应的环境变量:

/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin,然后再通过解密函数对相应的字符串进行解密,得到相应的文件目录或文件路径:

/boot  /var/run/sftp.pid   /lib/udev/udev  /lib/udev/  /var/run

同时解密出设置文件的URL地址以下:

http://info.3000.uc.com/config.rar

解密字符串的函数以下所示:

图片.png

查看ida里的xorkeys,我们可以得到它的加解密的key,以下图所示:

图片.png

Key的值为:BB2FA36AAA9541F0

3.能过解密函数,解密出daemonname,daemonnname字符串以下所示:

图片.png

解密过程以下图所示:

图片.png

相应的反汇编代码以下:

图片.png

解密以后的命令行以下:

图片.png

4.创建相应的守护进程,以下图所示:

图片.png

相干的反汇编代码以下:

图片.png

5.获得自身进程文件的路径,判定是否在/boot目录下,以下图所示:

图片.png

要是否是在/boot下,则创建恶意程序运行主体的目录/boot,并拷贝自身的/boot,同时创建相应的备份文件目录/lib/udev,同时拷贝自身到/lib/udev/udev,以下图所示:

图片.png

通过get_self得到自身进程的程序,以下下图所示:

图片.png

最后通过remove删除自身,然后再运行/boot下的恶意程序,文件名为随机的10个字母组成,以下图所示:

图片.png

6.获取进程的同享内存,然后执行后面的恶意操作,以下图所示:

图片.png

7.这个样本包含装置rootkit的代码,但并未执行,而是能过装置脚本进行rootkit装置的,以下图所示:

图片.png

图片.png

代码在执行的时辰默认跳过了装置RootKit恶意的代码段

8.加载自启动服务项,先将在/boot中运行的主恶意程序,写入到/etc/init.d/随机文件名启动项中,以下图所示:

图片.png

图片.png

然后将cron的内容写入到/etc/cron.hourly/cron.sh中,并将之前的自启动项写入到rc*.d文件中,然后再删除相应的rc*.d/S90**********文件,创建相应的符号连接,更新rc.d设置项,同时将之宿世成的cron.sh写入到/etc/crontab准时器义务中,以下图所示:

图片.png

写入以后的文件内容以下所示:

图片.png

内里S90**********随机生成的文件名,内容以下所示:

图片.png

9.检测是否存在rootkit恶意驱动程序,以下图所示:

图片.png

10.修改自身文件的用户属性,然后能过解密函数解密出遥程恶意服务器的网址,以下图所示:

图片.png

相应的反汇编代码以下:

图片.png

解密出来的网址以下:

23.234.52.54:5009

zxchk.xicp.net:5009

将解密出来的网站加入到恶意服务器列表当中,以下图所示:

图片.png

11.对解密出来的恶意网站,能过RootKit恶意程序隐躲相应的收集端口,以下图所示:

图片.png

当存在RootKit驱动模块的时辰,发送相应的RootKit执行的命令编号0×9748712,以下图所示:

图片.png

12.创建线程,执行恶意收集连接操作,通过uname获得主机的相干信息,以下图所示:

图片.png

然后再组织相应的数据包,并发送到遥程恶意服务器,以下图所示:

图片.png

13.解密相应的返归数据包的数据,以下图所示:

图片.png

解密返归的数据包代码以下:

图片.png

通过解析出来的不同命令执行不同的操作:

1)添加DDOS义务,以下图所示:

图片.png

然后创建线程,对解密出来的IP地址,执行DDOS攻击,以下图所示:

图片.png

DDOS攻击的方式首要为dns,syn两种方式,以下图所示:

图片.png

执行DDOS攻击,通过WireShark收集抓包,以下图所示:

图片.png

图片.png

图片.png

DDOS服务器的IP地址:

103.198.73.176

59.56.66.67

2)创建线程,下载程序,并执行,以下图所示:

图片.png

下载程序并执行,相应的反汇编代码,以下图所示:

图片.png

3)创建线程,无线黑客,更新文件,以下图所示:

图片.png

更新程序的反汇编代码,以下图所示:

图片.png

14.解密出相应的URL地址,然后执行daemondown无限轮回下载,以下图所示:

图片.png

相应的反汇编代码以下:

图片.png

15.后面就是恶意程序的“多态”以及“驻留”机制了,以下图所示:

图片.png

删除自身,然后拷贝/lib/udev/udev程序到/boot下的随机程序,并执行

图片.png

删除相应的自启动项,然后拷贝/lib/udev/udev程序到/boot下的随机程序,并执行

16.查看进程列表,以下图所示:

图片.png

查看恶意进程的文件,以下图所示:

图片.png

恶意程序会通过上面的“多态”以及“驻留”的方式,不断的在/boot下创建随机恶意程序名,然后执行,再不断的自删除相应的自启项,然后再创建恶意进程,再不断删除,轮回执行,以下图所示,执行ls时,/boot下的恶意程序会不断的变迁,以下图所示:

图片.png

清理样本

1) 清除/lib/udev/目录下的udev程序

2) 清除/boot下的随机恶意文件(10个随机字符串数字)

3) 清除/etc/cron.hourly/cron.sh以及/etc/crontab准时器文件相干内容

4) 要是有RootKit驱动模块,需要卸载相应的驱动模块,此次恶意程序首要它来隐躲相干的收集IP端口

5) 清除/lib/udev目录下的debug程序

IOC

MD5

0B3456561B7942AA67403CDDC1FAD2BD

URL

zxchk.xicp.net:5009

23.234.52.54:5009

* 千里目安全实验室,转载注明来自

您可能还会对下面的文章感兴趣: