linux ddos惡意軟體分析
0x00
好久沒寫文章了,正好吃完飯回來習慣性的翻翻twitter,一篇文章寫的真是行雲流水不翻譯來真是可惜。 廢話不多說,這篇文章是一個針對惡意軟體"Linux/XOR.DDoS" 感染事件分析,該惡意軟體試圖感染真正的linux伺服器。原文:http://blog.malwaremustdie.org/2015/06/mmd-0033-2015-linuxxorddos-infection_23.html
0x01 背景:
事件細節:
攻擊源:透過某種方式監控來到攻擊來源107.182.141.40,可以看到這個ip的一些具體資訊。
#!bash
"ip": "107.182.141.40",
"hostname": "40-141-182-107-static.reverse.queryfoundry.net",
"city": "Los Angeles",
"region": "California",
"country": "US",
"loc": "34.0530,-118.2642",
"org": "AS62638 Query Foundry, LLC",
"postal": "90017",
"phone": "213"
攻擊者登入透過ssh密碼登入一臺linux:
#!bash
[2015-06-23 01:29:42]: New connection: 107.182.141.40:41625
[2015-06-23 01:29:42]: Client version: [SSH-2.0-PUTTY]
[2015-06-23 01:29:43]: Login succeeded [***/***]
然後透過shell執行了如下命令:
然後惡意軟體啟動命令在受感染機器上執行。
攻擊者使用的Web伺服器(域:44ro4.cn)皮膚截圖,當時採取的攻擊執行步驟。
這個web上的ip資訊:
#!bash
"ip": "198.15.234.66",
"hostname": "No Hostname",
"city": "Nanjing",
"region": "Jiangsu",
"country": "CN",
"loc": "32.0617,118.7778",
"org": "AS11282 SERVERYOU INC",
"postal": "210004"
透過dig 發現該ip的一些附加域資訊:
#!bash
;; QUESTION SECTION:
;44ro4.cn. IN A
;; ANSWER SECTION:
44ro4.cn. 600 IN A 23.228.238.131
44ro4.cn. 600 IN A 198.15.234.66
;; AUTHORITY SECTION:
44ro4.cn. 3596 IN NS ns2.51dns.com.
44ro4.cn. 3596 IN NS ns1.51dns.com.
下邊是更多的證據:
0x02 感染的方法,偽裝和總結
透過進一步研究惡意軟體,該軟體看起來像是ZIP壓縮檔案的惡意軟體,從檔案格式上看出像是一個shell指令碼的惡意軟體安裝程式見下圖:
這是Linux/XorDDOSs,這種惡意軟體的感染後使作為BOT被感染的機器,遠端控制的惡意程式,配置,拒絕IP,程式和配置。他們使用的是XOR'ed加密通訊,傳送預先與MD5編碼過程。該惡意軟體的精靈的主要功能是為一個隱形的DDoS攻擊的殭屍網路。
這一事件的重要亮點和惡意軟體使用:
- 我們使用用於此惡意軟體感染的基礎設施 (攻擊者的IP來自美國主機,一個IP用於感染)
- 總在Linux/XorDDOSs,多個主機的使用:四數控系統。三的人建議是硬編碼在主機名(有相關的領域),從被感染的機器接收回撥,而其中的主機充當下載伺服器被感染的機器要求後門下載可疑的惡意檔案。
- 異或加密功能是用現在解密滴,讀取配置檔案從遠端主機下載(是的,它似乎被下載的配置檔案),併傳送通訊資料。
這裡是poc:
這些是cnc 與kernel的互動資訊,這裡用到了除錯神器strace.
透過惡意軟體互動分析到的dns請求:
tcpdump中的timestamp時間戳。
#!bash
08:21:20.078878 IP mmd.bangs.xorddos.40274 > 8.8.8.8: 27458+ A? aa.hostasa.org. (32)
08:21:20.080602 IP mmd.bangs.xorddos.38988 > 8.8.8.8: 44387+ A? ns4.hostasa.org. (33)
08:21:25.092061 IP mmd.bangs.xorddos.45477 > 8.8.8.8: 58191+ A? ns3.hostasa.org. (33)
08:21:25.269790 IP mmd.bangs.xorddos.51687 > 8.8.8.8: 22201+ A? ns2.hostasa.org. (33)
和cnc(hostasa.org)建立連線,注意它使用google dns的方式:
cnc(hostasa.org)回撥都是加密的,這是在2個獨立的地方初步回撥。
透過解密它的請求,這裡記錄了一些解密圖:
這裡是程式碼中通訊二進位制編碼部分:
下載者:
這裡是下載函式硬編碼在二進位制裡
也有確鑿的證據在wireshark抓包通訊中,如圖:
0x03 有趣的事實
這些都是用惡意軟體專案的原始碼檔案,它是Linux/xor.ddos集編譯設定(在C語言中,沒有"+"。)作者很無恥的收藏了,這裡我幫他翻譯下。
惡意軟體的指令碼在二進位制中編碼,這是通用的很多惡意軟體在中國製造。
發現XOR加密執行安裝程式和"據說"用於解密的配置資料,在樣本我破解的關鍵是BB2FA36AAA9541F0
這是自我複製的惡意軟體的安裝檔案,使用逆向工具追蹤程式碼,可以看到這裡:
和這裡:
acl功能,拒絕訪問的ip,來保護受感染的主機。
0x04 對於惡意軟體作者追蹤
透過逆向分析得到的資料,cnc使用的dns記錄在下邊:
#!bash
;; ANSWER SECTION:
aa.hostasa.org. 300 IN A 23.234.60.143
ns2.hostasa.org.300 IN A 103.240.140.152
ns3.hostasa.org.300 IN A 103.240.141.54
ns4.hostasa.org.300 IN A 192.126.126.64
;; AUTHORITY SECTION:
hostasa.org.3600IN NS ns4lny.domain-resolution.net.
hostasa.org.3600IN NS ns1cnb.domain-resolution.net.
hostasa.org.3600IN NS ns3cna.domain-resolution.net.
hostasa.org.3600IN NS ns2dky.domain-resolution.net.
;; ADDITIONAL SECTION:
ns3cna.domain-resolution.net. 2669 IN A 98.124.246.2
ns2dky.domain-resolution.net. 649 INA 98.124.246.1
ns1cnb.domain-resolution.net. 159 INA 50.23.84.77
ns4lny.domain-resolution.net. 2772 IN A 98.124.217.1
經過分析,活著的cnc(hostasa.org)伺服器在美國。
#!bash
"ip": "23.234.60.143",
"hostname": "No Hostname",
"city": "Newark",
"region": "Delaware",
"country": "US",
"loc": "39.7151,-75.7306",
"org": "AS26484 HOSTSPACE NETWORKS LLC",
"postal": "19711"
"ip": "192.126.126.64",
"hostname": "No Hostname",
"city": "Los Angeles",
"region": "California",
"country": "US",
"loc": "34.0530,-118.2642",
"org": "AS26484 HOSTSPACE NETWORKS LLC",
"postal": "90017"
其他的cnc(hostasa.org)伺服器在香港。
#!bash
"ip": "103.240.140.152",
"hostname": "No Hostname",
"city": "Central District",
"country": "HK",
"loc": "22.2833,114.1500",
"org": "AS62466 ClearDDoS Technologies"
"ip": "103.240.141.54",
"hostname": "No Hostname",
"city": "Central District",
"country": "HK",
"loc": "22.2833,114.1500",
"org": "AS62466 ClearDDoS Technologies"
域名hostasa.org無法證明是用於惡意目的的懷疑,3臺主機看起來像一個DNS伺服器,下面是註冊的資料來自Name.com那裡註冊.org,與隱私保護:
#!bash
Domain Name:"HOSTASA.ORG"
Domain ID: 2D175880649-LROR"
"Creation Date: 2015-03-31T06:56:01Z
Updated Date: 2015-05-31T03:45:36Z"
Registry Expiry Date: 2016-03-31T06:56:01Z
Sponsoring Registrar:"Name.com, LLC (R1288-LROR)"
Sponsoring Registrar IANA ID: 625
WHOIS Server:
Referral URL:
Domain Status: clientTransferProhibited -- http://www.icann.org/epp#clientTransferProhibited
Registrant ID:necwp72276k4nva0
Registrant Name:Whois Agent
Registrant Organization:Whois Privacy Protection Service, Inc.
Registrant Street: PO Box 639
Registrant City:Kirkland
Registrant State/Province:WA
Registrant Postal Code:98083
Registrant Country:US
Registrant Phone:+1.4252740657
Registrant Phone Ext:
Registrant Fax: +1.4259744730
Registrant Fax Ext:
Registrant Email:[email protected]
Tech Email:[email protected]
Name Server:NS3CNA.DOMAIN-RESOLUTION.NET
Name Server:NS1CNB.DOMAIN-RESOLUTION.NET
Name Server:NS2DKY.DOMAIN-RESOLUTION.NET
Name Server:NS4LNY.DOMAIN-RESOLUTION.NET
DNSSEC:Unsigned
此外,所使用的44ro4.cn域,這是DNS指向惡意的payload的Web頁面,這不是巧合,這是註冊在下面的QQ ID和名稱(可能是假的):
#!bash
Domain Name: 44ro4.cn
ROID: 20141229s10001s73492202-cn
Domain Status: ok
Registrant ID: ji27ikgt6kc203
Registrant: "蔡厚泉 (Cai Hou Sien/Quan)"
Registrant Contact Email: "[email protected]"
Sponsoring Registrar: 北京新網數碼資訊科技有限公司
Name Server: ns1.51dns.com
Name Server: ns2.51dns.com
Registration Time: 2014-12-29 10:13:43
Expiration Time: 2015-12-29 10:13:43
DNSSEC: unsigned
PS:CNNIC有更多這樣的註冊資訊,我把自由查詢他們找到這個騙子用的和其他身份的幾個可憐的cn域名,相同和不同的名字下,在同一個QQ:
Domain RegistrantID Name
------------------------------
n1o9n.cn ej55v35357p95m 沈濤
u7ju0.cn ej55v35357p95m 沈濤
568b5.cn ej55v35357p95m 沈濤
93t9i.cn ej55v35357p95m 沈濤
5ntdu.cn ej55v35357p95m 沈濤
v90b8.cn ej55v35357p95m 沈濤
av732.cn ej55v35357p95m 沈濤
iqny7.cn ej55v35357p95m 沈濤
ewkp7.cn ej55v35357p95m 沈濤
8vu55.cn ji27ikgt6kc203 蔡厚泉
tj17e.cn ej55v35357p95m 沈濤
o88pn.cn ji27ikgt6kc203 蔡厚泉
透過進一步的分析,發現如下資訊和域名所有者資訊相吻合。
看起來這個域名所有者是住在,住在附近的潭溪公交站在三元里街頭,白雲區,廣州地區,中華人民共和國,按照該地圖描述:
####注:文中的cnc處(就是HOSTASA.ORG)
相關文章
- 惡意軟體Linux/Mumblehard分析Linux
- Zero Access惡意軟體分析
- 防止惡意攻擊,伺服器DDoS防禦軟體科普伺服器
- 動態惡意軟體分析工具介紹
- MMD-0043-2015 - 多型型ELF惡意軟體:Linux/Xor.DDOS多型Linux
- Cuckoo惡意軟體自動化分析平臺搭建
- 針對資訊竊取惡意軟體AZORult的分析
- 【活在中國】誰是惡意軟體?
- 一款結合破殼(Shellshock)漏洞利用的Linux遠端控制惡意軟體Linux/XOR.DDoS 深入解析Linux
- 新型Windows惡意軟體正在針對Linux、macOS裝置WindowsLinuxMac
- 惡意軟體PE檔案重建指南
- 是防毒軟體”失職“還是惡意軟體太”狡猾“?惡意軟體可繞過Android防護系統防毒Android
- Linux惡意軟體飛速增長 危險性增加(轉)Linux
- TrickBot和Emotet再奪惡意軟體之冠
- 常見惡意軟體型別及危害型別
- 惡意軟體Emotet 的新攻擊方法
- 惡意軟體橫行,DNS“功”不可沒DNS
- 惡意軟體開發——記憶體相關API記憶體API
- 微軟研究:非正版軟體惡意軟體感染率為80%微軟
- 最新 Mac 惡意軟體 OSX/CrescentCore 被發現Mac
- Trickbot惡意軟體又又又升級了!
- 隱藏在xml檔案中的惡意軟體XML
- 歐洲刑警組織拆除FluBot安卓惡意軟體安卓
- 惡意解除安裝oracle軟體恢復方法Oracle
- 使用UnhookMe分析惡意軟體中未受監控的系統呼叫問題Hook
- 無法檢測到的Linux惡意軟體;惡意軟體團隊解散,10萬美元拍賣原始碼;美團疑取消支付寶支付Linux原始碼
- 後門惡意軟體通殺 Win、macOS、Linux 三大系統;Linux 惡意程式數量增長 35% | 思否週刊MacLinux
- WAV音訊檔案中隱藏惡意軟體音訊
- 從SharPersist思考惡意軟體持久化檢測持久化
- 惡意軟體橫行無忌DNS“功”不可沒DNS
- 你的Android裝置有惡意軟體嗎?Android
- McAfee:移動惡意軟體數量暴增700%
- 惡意取款被判無期是中國軟體的悲哀
- [原創]流行防毒軟體對惡意PDF文件檢測的概括性分析防毒
- ANDROID勒索軟體黑產研究 ——惡意軟體一鍵生成器Android
- 針對Linux和Windows使用者的新型多平臺惡意軟體LinuxWindows
- 有米iOS惡意SDK分析iOS
- OS X那些事---惡意軟體是如何啟動的?