殭屍網路XorDDoS的原理分析與清除

家族背景以及現狀介紹

XorDDoS殭屍網路家族從2014年一直存活至今，因其解密方法大量使用Xor而被命名為XorDDoS，該殭屍網路家族目前活躍程度仍舊較高，主要是攻擊者對其C2一直持續進行更新，下圖是深信服雲腦中對XorDDoS網路請求趨勢分析，從訪問情況來看較為穩定。

下圖為該殭屍網路家族在國內的感染分佈圖，可以看到主要存在廣東以及江浙一帶。

防護原理分析

深信服安全團隊對XorDDos家族的防護原理進行詳細分析，並對其做清除處理。主要程式的執行流程如下：

cron.hourly下的bash檔案,其中包含了其比較明顯的特徵名稱，曾經出現過以下幾種(可能還有更多)

/etc/cron.hourly/udev.sh => cp /lib/libgcc4.so /lib/libgcc4.4.so

/etc/cron.hourly/gcc.sh => cp /lib/libudev.so /lib/libudev.so.6

/etc/cron.hourly/gcc4.sh => cp /lib/libudev4.so /lib/libudev4.so.6

/etc/cron.hourly/cron.sh => cp /lib/udev/dev /lib/udev/debug (rootkit 版本, /proc/rs_dev)

解密daemonname子串，解密部分其他文章已經做了很詳細的分析，解密字串如下：

然後會執行daemon(1,0)建立守護程式，守護程式的描述如下：

接下來它會對程式的引數數量做檢查，主要包括對2個和3個引數的處理。

如果只有一個引數，會對當前執行檔案的路徑與/usr/bin/、/bin、/tmp目錄做對比，如果不在上述任意一個目錄，會進行建立/usr/bin、/bin、/tmp、/lib、/var/run目錄，拷貝檔案到/lib/libudev4.so(這只是其中一個變種)，然後拷貝自身到/usr/bin、/bin、/tmp下面任意一個目錄(名稱為10個小寫字母隨機名，一個成功就不會拷貝到其他目錄)，並且變換md5,執行該檔案。

這裡的LinuxExec實際是dobulefork來建立子程式，然後再次呼叫execvp來建立一個新程式(2個引數）。

接下來就會刪除當前執行的程式的自身檔案。

當程式是執行在/usr/bin、/bin、/tmp任意一個目錄下的，則會先獲取共享記憶體，獲取共享記憶體成功當前的程式pid寫入共享記憶體。

然後轉到新增服務，這裡就是各種啟動項以及定時任務。

生成一個隨機ID，從之前的daemonname中隨機挑選一個，然後將這個daemonname放到程式環境變數argv中，就會在系統中將本程式的名稱改變，達到迷惑的作用。

接下來建立一個daemon_process執行緒，該執行緒會檢測/var/run/xxx.pid檔案；/lib目錄下的母體檔案，沒有檢測到母體檔案就重新拷貝一份；檢測當前程式的檔案是否還存在，不存在則將當前程式殺死(這裡是一個bug點，後續對清除有很大作用)。

daemon_process程式詳細如下：

繼續刪除自身檔案，重新建立檔案和程式，這就是XorDDos程式終止後會被重新拉起的原因。

rootkit版本

XorDDoS的rootkit模組來源於https://github.com/mncoppola/suterusu專案，但在實際環境中，該模組的安裝函式並沒有執行，因此未能成功安裝。

清除原理

從分析中知道，會有一個daemon_process執行緒對檔案狀態進行檢測，檔案不存在就將程式殺死，所以在將惡意啟動項、定時任務等清除以後，使用chattr對xorddos涉及到的幾個目錄加鎖，然後病毒程式就會自動終止，之後再將被加鎖的資料夾恢復。

深信服為廣大使用者免費提供查殺指令碼：

https://edr.sangfor.com.cn/api/download/chk_cln_xorddos.zip

防護建議

深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺。

https://edr.sangfor.com.cn/api/download/chk_cln_xorddos.zip

1、使用深信服安全產品，接入安全雲腦，使用雲查服務可以即時檢測防禦新威脅；

2、深信服推出安全運營服務，通過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力，針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

最後，建議企業對全網進行一次安全檢查和防毒掃描，加強防護工作。推薦使用深信服安全感知+防火牆+EDR，對內網進行感知、查殺和防護。