最近百度X-Team捕獲到一個利用SSH弱口令漏洞構建殭屍網路的蠕蟲，該蠕蟲具有自動掃描、自動傳播、並依託公共社交網路服務作為獲取Command and Control(後文簡稱C&C)控制資訊等特點；蠕蟲作者為保證控制方式的獨享性，上線地址的變化性以及隱蔽性做了大量工作，C&C上線地址能夠做到每天一換。根據其上線特點，我們將此蠕蟲命名為：TruSSH Worm。目前此蠕蟲已經在全世界範圍內大規模傳播。鑑於此蠕蟲的編寫和控制方式有些特殊，特拿出來和大家分享。

0x01 蠕蟲主體特徵

---

所有的蠕蟲主體執行檔案均透過upx殼進行壓縮，但透過破壞upx header等方式防止upx –d的自動化脫殼，這在linux類的惡意樣本中並不多見。

手工脫殼後繼續分析，整個ELF檔案靜態連結，並且被stripped。蠕蟲支援在i686、mips、arm架構的linux上執行，能夠適應在各種小型被裁剪過的路由器上進行傳播。透過對脫殼後的bin中關鍵字串進行檢視，發現其整合了openssl、libssh2、libevent, libcurl等庫，其中openssl的庫給出了版本號以及釋出時間等資訊，讓我們得知此惡意蠕蟲屬於被近期投放，要晚於2015年6月12日。X-Team在捕獲改樣本時，VT上並沒有發現有過歷史提交。

0x02 蠕蟲傳播方式

---

蠕蟲執行成功後，會開啟大量的執行緒，隨機選擇生成一個B段IP段，掃描其中22埠的開放情況，成功連線的IP地址儲存到名為list2列表中，當一次掃描完成後，會讀取list2資料，並嘗試使用事先設定好的弱口令集進行破解，該蠕蟲僅僅依靠三個弱口令root:root, admin:admin 以及ubnt:ubnt三個使用者名稱密碼進行破解。其中ubnt屬於近期被DDOS集團重點關注airos系統的SSH預設賬戶名密碼。透過zoomeye和shodan，我們也可以看到全網的此類裝置的量級是非常可觀的。

生成IP地址列表

一旦破解成功，會將該IP地址的資訊儲存到good2檔案中,並將當前目錄下的所有.mod檔案全部複製到遠端伺服器的/tmp/.xs目錄下，然後設定可執行屬性並依次執行這些檔案。

為了防止目標環境沒有wget或者tftp等命令，這裡蠕蟲採用了一個比較tricky的方式方法，直接在server端使用cat > xxxx.mod的方式傳送檔案，下圖是我們抓取到的命令執行內容：

蠕蟲同時會監聽9000和1337埠接受外界請求，其中9000埠是一個非常重要的感染標誌。蠕蟲週期性的會檢查good2中機器的存活情況，確保感染率，在對SSH進行爆破前，蠕蟲先會向9000埠傳送post 請求時，如果其響應“{status: 1}” 則表示該機屬於存活狀態，跳過SSH密碼嘗試過程，如下所示:

9000埠還提供update和download等功能，這些功能的用途在後面會看到。

0x03 蠕蟲的上線方式

---

蠕蟲利用了公共社交網路平臺進行控制，並採用兩階段獲取C&C IP的上線方式，這是我們之前捕獲的蠕蟲中沒有發現過的。該蠕蟲透過www.twitter.com、www.reddit.com、my.mail.ru等網站上搜尋特定的資訊，解析頁面內容來找到第一階段控制IP資訊，來看下這個流程是怎麼進行的：

透過在twitter上搜尋關鍵字獲取一階段IP地址,其他連線www.mail.ru以及www.reddit.com的情況類似。在這些社交平臺上搜尋的關鍵字，蠕蟲透過一定的演算法來進行得到，有點fastflux的感覺。準備連線前，蠕蟲會根據內建的演算法從www.google.com返回Server Response中的Date域中提取出來的值作為變數生成隨機數，再使用隨機數從預先定義好的詞表字典中來選擇兩個對應的詞，然後加上隨機數拼接成一個合適的url，如下所示：

用來構造請求的詞表：

下圖是逆向出來隨機數生成演算法的C實現

蠕蟲在收到Response code 200的返回後，在回覆的頁面中嘗試查詢base64 特徵的字串，並結合蠕蟲內建的KEY，使用openssl中橢圓曲線演算法（ECDSA）來驗證資料的有效性。此時蠕蟲會得到一個二進位制檔案，該檔案格式如下所示。

第一部分紅線標註的即為上線IP地址，蠕蟲此時會連線IP的9000埠，獲取實際的上線地址，並連線到該地址，請求名為http://IP:9000/srv_report&ver=0的URL， 並從這個url中得到實際的C&C地址，下圖是我們捕獲到的srv_report，格式如下所示：

其組成也是分成三部分，第一部分為最終的上線URL，後緊跟著一個04開頭的值，然後是4位的時間戳。最後是一個32位的簽名校驗。在校驗URL的有效性後，蠕蟲會連線該URL地址，透過請求該地址，得到實際需要執行的命令。

0x04 感染範圍

---

我們根據之前提到的9000埠特徵，8月底的時候在全網範圍內進行了一次排查,結果如下：全球共感染主機23367臺，其中中國是受影響最多的國家 達到7000+

0x05 其他

---

在分析程式碼的過程中，我們發現了一些有趣的資訊，蠕蟲的編寫者有使用truecrypt的習慣，編譯在bin中的路徑字串洩露了這一點。

從連續監控twitter等社交網路資料來看，原作者大約是在2015年7月17 到2015年7月23 日左右放出了控制資訊，之後未有新控制資訊放出。