殭屍網路XorDDoS的原理分析與清除

深信服千里目發表於2019-10-24

家族背景以及現狀介紹

XorDDoS殭屍網路家族從2014年一直存活至今,因其解密方法大量使用Xor而被命名為XorDDoS,該殭屍網路家族目前活躍程度仍舊較高,主要是攻擊者對其C2一直持續進行更新,下圖是深信服雲腦中對XorDDoS網路請求趨勢分析,從訪問情況來看較為穩定。

殭屍網路XorDDoS的原理分析與清除

下圖為該殭屍網路家族在國內的感染分佈圖,可以看到主要存在廣東以及江浙一帶。

殭屍網路XorDDoS的原理分析與清除

防護原理分析

深信服安全團隊對XorDDos家族的防護原理進行詳細分析,並對其做清除處理。主要程式的執行流程如下:

殭屍網路XorDDoS的原理分析與清除

cron.hourly下的bash檔案,其中包含了其比較明顯的特徵名稱,曾經出現過以下幾種(可能還有更多)

/etc/cron.hourly/udev.sh => cp /lib/libgcc4.so /lib/libgcc4.4.so

/etc/cron.hourly/gcc.sh => cp /lib/libudev.so /lib/libudev.so.6

/etc/cron.hourly/gcc4.sh => cp /lib/libudev4.so /lib/libudev4.so.6

/etc/cron.hourly/cron.sh => cp /lib/udev/dev /lib/udev/debug (rootkit 版本, /proc/rs_dev)


解密daemonname子串,解密部分其他文章已經做了很詳細的分析,解密字串如下:

殭屍網路XorDDoS的原理分析與清除

殭屍網路XorDDoS的原理分析與清除

然後會執行daemon(1,0)建立守護程式,守護程式的描述如下:

殭屍網路XorDDoS的原理分析與清除

接下來它會對程式的引數數量做檢查,主要包括對2個和3個引數的處理。


如果只有一個引數,會對當前執行檔案的路徑與/usr/bin/、/bin、/tmp目錄做對比,如果不在上述任意一個目錄,會進行建立/usr/bin、/bin、/tmp、/lib、/var/run目錄,複製檔案到/lib/libudev4.so(這只是其中一個變種),然後複製自身到/usr/bin、/bin、/tmp下面任意一個目錄(名稱為10個小寫字母隨機名,一個成功就不會複製到其他目錄),並且變換md5,執行該檔案。

殭屍網路XorDDoS的原理分析與清除

殭屍網路XorDDoS的原理分析與清除

殭屍網路XorDDoS的原理分析與清除

殭屍網路XorDDoS的原理分析與清除

這裡的LinuxExec實際是dobulefork來建立子程式,然後再次呼叫execvp來建立一個新程式(2個引數)。

殭屍網路XorDDoS的原理分析與清除

殭屍網路XorDDoS的原理分析與清除

接下來就會刪除當前執行的程式的自身檔案。

當程式是執行在/usr/bin、/bin、/tmp任意一個目錄下的,則會先獲取共享記憶體,獲取共享記憶體成功當前的程式pid寫入共享記憶體。

殭屍網路XorDDoS的原理分析與清除

殭屍網路XorDDoS的原理分析與清除

殭屍網路XorDDoS的原理分析與清除

殭屍網路XorDDoS的原理分析與清除

然後轉到新增服務,這裡就是各種啟動項以及定時任務。

殭屍網路XorDDoS的原理分析與清除

生成一個隨機ID,從之前的daemonname中隨機挑選一個,然後將這個daemonname放到程式環境變數argv中,就會在系統中將本程式的名稱改變,達到迷惑的作用。

殭屍網路XorDDoS的原理分析與清除

殭屍網路XorDDoS的原理分析與清除

殭屍網路XorDDoS的原理分析與清除

殭屍網路XorDDoS的原理分析與清除

接下來建立一個daemon_process執行緒,該執行緒會檢測/var/run/xxx.pid檔案;/lib目錄下的母體檔案,沒有檢測到母體檔案就重新複製一份;檢測當前程式的檔案是否還存在,不存在則將當前程式殺死(這裡是一個bug點,後續對清除有很大作用)。

殭屍網路XorDDoS的原理分析與清除

daemon_process程式詳細如下:

殭屍網路XorDDoS的原理分析與清除

繼續刪除自身檔案,重新建立檔案和程式,這就是XorDDos程式終止後會被重新拉起的原因。

殭屍網路XorDDoS的原理分析與清除

rootkit版本

XorDDoS的rootkit模組來源於https://github.com/mncoppola/suterusu專案,但在實際環境中,該模組的安裝函式並沒有執行,因此未能成功安裝。

清除原理

從分析中知道,會有一個daemon_process執行緒對檔案狀態進行檢測,檔案不存在就將程式殺死,所以在將惡意啟動項、定時任務等清除以後,使用chattr對xorddos涉及到的幾個目錄加鎖,然後病毒程式就會自動終止,之後再將被加鎖的資料夾恢復。

深信服為廣大使用者免費提供查殺指令碼:

https://edr.sangfor.com.cn/api/download/chk_cln_xorddos.zip

防護建議

 病毒檢測查殺

深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。

https://edr.sangfor.com.cn/api/download/chk_cln_xorddos.zip

 病毒防禦

1、使用深信服安全產品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅;

2、深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力,針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。

最後,建議企業對全網進行一次安全檢查和防毒掃描,加強防護工作。推薦使用深信服安全感知+防火牆+EDR,對內網進行感知、查殺和防護。

相關文章