一款結合破殼(Shellshock)漏洞利用的Linux遠端控制惡意軟體Linux/XOR.DDoS 深入解析

wyzsk發表於2020-08-19
作者: vvun91e0n · 2015/07/23 15:43

原文:http://blog.malwaremustdie.org/2015/07/mmd-0037-2015-bad-shellshock.html

0x00 背景


昨天又是忙碌的一天,因為我獲知近期有破殼漏洞利用攻擊,所以我們團隊集合起來對所有近期的捕獲到的網際網路交叉流量中的ELF檔案威脅 (ELF threats)進行檢測。我檢視了一套shell指令碼的命令部分,立刻就知道它基本上就是Linux/XOR.DDoS木馬。我又檢查了payload,並且深入檢視了細節。最終確定這就是Linux/XOR.DDoS

相關資訊可以檢視: http://blog.malwaremustdie.org/2015/06/mmd-0033-2015-linuxxorddos-infection_23.html

https://www.virustotal.com/en/file/dced727001cbddf74303de20211148ac8fad0794355c108b87531b3a4a2ad6d5/analysis/

因為已經過我的睡覺時間很久了,我需要休息了。所以我讓我們生活在地球另一邊的專家同事們MMD ELF Team來看看這個樣本是否有什麼新特性。

為了搞定這些新的發現,我幾乎一夜沒睡。這篇文章將會告訴你為什麼。

0x01 shellshock


這次shellshock攻擊是從13/07/2015開始的。讓我們直接來看看利用shellshock植入的一段bash命令的程式碼:

enter image description here

這段程式碼的主要功能是: 使用web server的UID來執行程式碼,這段指令碼刪除了sftp守護程式的pid檔案(pid檔案是某些程式啟動時記錄一些程式ID資訊而建立的檔案),檢查當前目錄是否有6000.rar這個檔案存在,如果有就刪除。然後,在根目錄透過wget或者curl命令從多個IP地址(43.255.188.2/103.20.195.254/122.10.85.54)下載6000.rar檔案。檢查是否下載成功,如果下載成功了就新增可執行許可權並執行,最後列印一個“ExecOK”訊息。如果下載不成功,它也會繼續探測系統的版本資訊,HDD status,程式資訊(如果是linux系統將會顯示UID,PID,PPID,Time和Command,但是在BSD系統中會顯示一些不同的有趣結果:D)並且會檢查乙太網連線,顯示本地和遠端地址,接入網際網路的程式。然後列印一個“ExecOK”訊息。最後,這個指令碼會列印sftp,mount,gcc的PID內容。再列印一個“InstallOK”訊息。

最後,它從上面列出的IP地址的其中一個下載g.rar檔案(使用wget或crul命令)。新增可執行許可權並執行。需要指出的是,在大多數Linux/XOR.DDoS shellshock案例中,最後這一步都沒有執行。被“#”註釋掉了。

0x02 Linux/XOR.DDoS payloads


至今,我們MalwareMustDie是第一個發現這類ELF威脅樣本的,並且我們給其命名為Linux/XOR.DDoS,我們的部落格中有分析文章,釋出於29/09/2014[link].該惡意軟體在2015年初造成了很大的影響,很多IT媒體,SANS ISC都有相關報導,參見[-1-][-2-][-3-][-4-]

這次威脅變種使用的加解密技術和之前其他相似的中國ELF DDOS變種使用很多解碼技術(對安裝指令碼進行編碼)和加密技術(基於XOR)有明顯的不同。所有我們的團隊在處理威脅的時候就像和惡意軟體作者在進行一場CTF比賽。這對下班或放學後的我們有好處,使我們的大腦不會閒著。我們在kernelmode[link]論壇上開闢並維護一個版塊來討論Linux/XOR.DDoS。最新事件也可以在我們的報告中找到->[link]。該惡意軟體總是試圖連線並且會在受害者機器上安裝rootkit

我們可以在之前給出的IP地址列表中隨意挑選一個來下載Linux/XOR.DDoSpayload。就像我下面做的,有點點暴力。(並沒下載全部,只是演示)。

enter image description here

下面的是收集到的payload。感謝偉大的團隊合作。

enter image description here

可以發現有兩種樣本。一種是unstripped的,還有encoded+stripped的。我選擇了兩個來進行檢測,hash分別是73fd29f4be88d5844cee0e845dbd3dc5和758a6c01402526188f3689bd527edf83。

樣本73fd29f4be88d5844cee0e845dbd3dc5是典型的XOR.DDoS ELF x32變種,由以下的程式碼工程編譯:

enter image description here

可以發現熟悉的程式碼段,看看下面的解密方法:

enter image description here

看看完全解密後的結果:

enter image description here

成功解密之後你就可以直接看到Linux/XOR.DDoS用作CNC(command and control)伺服器的域名。在本例中是: www1.gggatat456.com in 103.240.141.54 該域名在ENOM域名商註冊,使用的受隱私保護的聯絡ID註冊。

enter image description here

Domain Name: GGGATAT456.COM
Registrar: ENOM, INC.
Registry Domain ID: 1915186707_DOMAIN_COM-VRSN
Sponsoring Registrar IANA ID: 48
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Updated Date: 31-mar-2015
Creation Date: 31-mar-2015
Expiration Date: 31-mar-2016
Last update of whois database: Wed, 15 Jul 2015 00:59:06 GMT
Tech Email: [email protected]
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM

和之前的樣本不同,我們分析這次捕獲的樣本發現,它與CNC伺服器建立了ssh連線並下載加密資料:

enter image description here

因為在此篇文章中我有很多需要解釋的內容,該惡意軟體已經在kernelmode論壇裡討論分析了很多次了,在之前的MMD部落格中,和一些其他研究網站中也討論了很多了,所以我不會在本文中涉及過多的細節。將關注重點主要放在惡意程式碼的解密和為了達到分解和停止目的而採取的策略。

hash為758a6c01402526188f3689bd527edf83g.rar檔案有一些不同。它是ELF-stripped二進位制檔案(僅僅使逆向工程增加了2%的難度)。可以透過code-mapping方法來解決逆向分析問題。

enter image description here

其中包含deflate.c程式碼(ver 1.2.1.2)[link]

enter image description here

用zlib壓縮混淆一些文字值:

enter image description here

這些安裝時使用的字串會帶領我們找到CNC伺服器

剩下的一些功能都是已知的,並沒有什麼新東西。結果看起來也使用了同樣的對映方法。我推薦使用很不錯的pipe code[link]來解壓這些文字值。

對剩下的二進位制檔案進行逆向,將會看到CNC主機的域名: GroUndHog.MapSnode.CoM in 211.110.1.32 下面的圖進一步證實了,該域名和我想的一樣,和之前提到的IP地址一樣是Linux/XOR.DDoS木馬的一部分。

enter image description here

該域名是同一個人在ENOM註冊的:

Domain Name: MAPSNODE.COM
Registrar: ENOM, INC.
Sponsoring Registrar IANA ID: 48
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Updated Date: 11-may-2015
Creation Date: 11-may-2015
Expiration Date: 11-may-2016
Last update of whois database: Wed, 15 Jul 2015 07:16:23 GMT
Tech Email: [email protected]
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM

下面是更多關於shellshock和CNC使用的IP地址的細節:

{
  "ip": "43.255.188.2",
  "country": "HK",
  "loc": "22.2500,114.1667",
  "org": "AS134176 Heilongjiang Province hongyi xinxi technology limited"

  "ip": "103.20.195.254",
  "country": "HK",
  "loc": "22.2500,114.1667",
  "org": "AS3491 Beyond The Network America, Inc."

  "ip": "122.10.85.54",
  "country": "HK",
  "loc": "22.2500,114.1667",
  "org": "AS55933 Cloudie Limited"

  "ip": "211.110.1.32",
  "country": "KR",
  "loc": "37.5700,126.9800",
  "org": "AS9318 Hanaro Telecom Inc."
}

這些樣本都已經在VirusTotal網站進行了檢測,可以搜尋下列hash:

MD5 (3503.rar) = 238ee6c5dd9a9ad3914edd062722ee50
MD5 (3504.rar) = 09489aa91b9b4b3c20eb71cd4ac96fe9
MD5 (3505.rar) = 5c5173b20c3fdde1a0f5a80722ea70a2
MD5 (3506.rar) = d9304156eb9a263e3d218adc20f71400
MD5 (3507.rar) = 3492562e7537a40976c7d27b4624b3b3
MD5 (3508.rar) = ba8cc765ea0564abf5be5f39df121b0b
MD5 (6000.rar) = 73fd29f4be88d5844cee0e845dbd3dc5
MD5 (6001.rar) = a5e15e3565219d28cdeec513036dcd53
MD5 (6002.rar) = fd908038fb6d7f42f08d54510342a3b7
MD5 (6003.rar) = ee5edcc4d824db63a8c8264a8631f067
MD5 (6004.rar) = 1aed11a0cbc2407af3ca7d25c855d9a5
MD5 (6005.rar) = 2edd464a8a6b49f1082ac3cc92747ba2
MD5 (g.rar) = 758a6c01402526188f3689bd527edf83

0x03 "Linux/killfile" ELF (downloader, kills processes & runs etc malware)


我們在之前的樣本分析中並沒有見過這些功能,所以我需要解釋一下。Linux/XOR.DDoS透過加密會話從CNC伺服器下載其他的惡意檔案。在CNC伺服器上,有一系列的ELF惡意軟體下載者程式,分別適用於被感染主機的不同系統環境。下面的ELF二進位制檔案(x32或x64)的其中之一將會在被感染的機器上執行,該ELF可執行檔案是實現killfile功能的模組,可以下載對應配置檔案來結束特定程式或者其他需要結束的惡意軟體。它可以從配置的文字檔案(kill.txtrun.txt)中讀取出配置資訊,這些資訊使用“|”來邏輯分割kill/run功能,killfile功能模組可以對此配置進行邏輯解析並執行。

MD5 (killfile32) = e98b05b01df42d0e0b01b97386a562d7  15282 Apr  3  2014 killfile32*
MD5 (killfile64) = 57fdf267a0efd208eede8aa4fb2e1d91  20322 Apr  3  2014 killfile64

接下來說明幾個重要的模組函式。

killfile模組用C編寫,下面是原始檔名: 'crtstuff.c' 'btv1.2.c' 'http_download.c' 'libsock.c'

它將自己偽裝成一個bluetooth程式:

enter image description here

也會偽裝為Microsoft(試著讀下面的程式碼,它是自解釋的):

enter image description here

在我分析的這前兩個樣本中,它們都會從下面的域名和IP地址下載程式列表並結束這些程式: kill.et2046.com sb.et2046.com 115.23.172.31

下圖是對結束列表的逆向分析:

enter image description here

這個IP地址位於韓國電信,看起來是被駭客控制的伺服器:

{
  "ip": "115.23.172.31",
  "hostname": "kill.et2046.com",
  "city": Seoul,
  "country": "KR",
  "loc": "37.5700,126.9800",
  "org": "AS4766 Korea Telecom"
}

et2046.com應該也不是一個正常的域名,在GoDaddy註冊,資訊如下:

Domain Name: ET2046.COM
Registrar: GODADDY.COM, LLC
Sponsoring Registrar IANA ID: 146
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: A.DNSPOD.COM
Name Server: B.DNSPOD.COM
Name Server: C.DNSPOD.COM
Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Updated Date: 21-dec-2014
Creation Date: 27-nov-2012
Expiration Date: 27-nov-2016
Last update of whois database: Thu, 16 Jul 2015 22:17:47 GMT <<<

[email protected]:

Registry Registrant ID:
Registrant Name: smaina smaina
Registrant Organization:
Registrant Street: Beijing
Registrant City: Beijing
Registrant State/Province: Beijing
Registrant Postal Code: 100080
Registrant Country: China
Registrant Phone: +86.18622222222
Registrant Email: "[email protected]"

這域名和email地址都是我的朋友Dr.DiMinoDeepEndResearch[link]找到的。 以上域名的DNS解析如下:

enter image description here

重新回到Linux/KillFile ELF惡意軟體的行為分析。它隨後從之前的URL下載run.txt檔案,下載執行該檔案裡面列出的其他惡意檔案。在本樣本中,run.txt裡面的內容是一款臭名昭著ELF DDoS惡意軟體 "IptabLes|x" 。難道,Xor.DDoSIptabLes|x合作了。我想只有ChinaZ(譯者:這個單詞不知道如何準確翻譯,難道是代表中國人)才會與IptabLes|x勾結。是否IptabLes|x在中國的惡意軟體黑市上已經是開源的了?為什麼近期那些危險分子開始變化他們的工具?這些答案將會在以後才能得到揭曉。

enter image description here

該二進位制檔案是明文的,你可以清楚看見下載源地址,下載的檔案和虛假的使用者集(注意字串:“TencentTraveler”),這些資訊可以迅速用來幫助抵禦威脅:

enter image description here

這前兩個Linux/KillFile ELF惡意軟體是在2014年編譯的老版本,但是看起來已經參與了幾次感染行動了。但是VT評分還是0.可以參考->[-1-][-2-]。這次感染中,攻擊者還準備了另外一個 Linux/KillFile。我們將在下一節深入解析中來說明。

我們在kernelmode論壇新增了新的ELF Linux/killfile討論帖: [http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3944&p=26309#p26309]

0x04 深入解析(Under the hood)


也許你讀過很多次與本文之前討論相似的報告。也許你已經對這類惡意軟體,CNC伺服器,IP地址,DDoS等重複的故事感到厭煩。但是這次,我們帶來的深入解析將是全新的。先說明,所有的內容已經由HTTP協議帶到你面前,透過瀏覽器展示給你,其中沒有駭客攻擊細節,沒有攻擊的方法描述,所以如果你期待的比這更多,我只能說聲抱歉。所有這些都是由我們ELF Team的團隊合作努力完成的。

我們已經被Linux/XOR.DDoS攻擊了多次,都還不知道他們到底是誰。大家都充滿了好奇,所以我們隨機的選擇可以接觸到的IP地址,嘗試看看透過合法手段能不能有什麼收穫。從上面給出的IP的其中一個,我們拿到了被加密了的特殊檔案:

enter image description here

部分檔案被製作者加密了,但是是可以破解的:-)。我們不會在這裡披露密碼。因為它裡面包含了rootkits,漏洞掃描,CNC程式,ELF病毒和木馬(下載者和回連)。一系列攻擊者用來攻擊我們的工具。這些工具依然在使用:

<embed>

0x05 RDP(Remote Desktop Protocol)掃描工具集rdp.rar


這是一個實實在在的ELF RDP掃描工具集,掃描引擎(rdp ELF可執行檔案)用來掃描指定範圍的IP段,探測開啟了RDP的主機,發現了之後使用字典進行暴力攻擊。以得到使用者名稱和密碼。可以設定掃描的執行緒數和發現匹配使用者後終止掃描的條件。可以明顯的看出來,工具程式碼的編寫者不是講英語地區的人。這種情況我們在windows平臺上見太多了。我們認為這個ELF版本的工具只是被限制給少數人使用。下圖是該工具的介面截圖:

enter image description here

rdp檔案是整個rdp工具集的核心,為了能夠實現自動化攻擊,作者使用了指令碼。我們發現了shell指令碼“a”和“start”來實現自動化。下圖給出具體指令碼程式碼片段,請注意,如果沒有rdp程式,這些指令碼就什麼用都沒有。

enter image description here

Linux/XOR.DDoS使用者在工具集裡的文字檔案中留下一些資料,你可以看到這些資料包含用來暴力攻擊的使用者名稱和單詞庫。還有一些掃描結果儲存在vuln.txt檔案中:

enter image description here

我想上圖非常清楚的說明了rdp能幹些什麼和它是怎麼被Linux/XOR.DDoS攻擊者所使用的,為了他們的駭客行動,用rdp來暴力破解windows網路。所以我就不做影片了。這個rdp ELF是個新發現,我們將它命名為Linux/rdp,作為一款ELF駭客工具。同時我們在kernelmode論壇上開一個版塊來討論它。

這就是rdp.rar的全部?不,這裡還有個名叫psc的傢伙,它也是一個ELF可執行檔案,細節如下:

16840 Nov 24 psc fcd078dc4cec1c91ac0a9a2e2bc5df25
psc: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), 
     dynamically linked (uses shared libs), for GNU/Linux 2.2.5, not stripped

如果你將psc放到Virus Total檢測,將會得到(37/56)的Linux ELF病毒感染的檢測結果。被判定為一種已知的惡意軟體Linux/RST變種。該軟體可以感染其它的ELF檔案,然後留下一個後門[link]。是不是很壞。

但是psc其實是一款名為pscan的駭客工具。是用來進行埠掃描的。黑帽子使用它來掃描伺服器的SSH埠,我也知道有白帽子拿它來進行滲透測試。MMD部落格曾經討論過駭客工具,參見MMD-0023-2014[link]

我們測試執行了它,發現和pscan是一樣的。應該是Linux/XOR.DDoS的攻擊者使用psc縮寫來命名。

enter image description here

下圖顯示了psc裡面有很多的字串包含“pscan”字串:

enter image description here

然而,為什麼VT報告它被病毒感染了呢?謝謝Miroslav Legen的建議,我檢查了程式入口點。程式原始入口點被修改為0x08049364,惡意入口點取代了原始入口點(0x080487a8),這麼做的目的就是執行提前執行惡意指令,然後再跳轉到原始入口點。下圖是我在檢查入口點替換時的逆向筆記:

enter image description here

進一步還發現,rdp ELF二進位制檔案也進行了入口點替換:

enter image description here

事實上,我們發現IP位於中國主機上的惡意軟體集和駭客工具都被另一種惡意軟體所感染。所以本文介紹的案例只是其中一個,畢竟,它本來就是來自一個不可信的環境。所以我們強烈建議不要執行任何從不可信環境中的到的任何東西。我不敢肯定是否Linux/XOR.DDoS使用者知道這情況或者是故意將被感染的ELF駭客工具放進他們的壓縮包裡(呵呵,我想他們應該是不知道,因為他們給壓縮包設定了密碼),但是我真心希望他們自己被這病毒感染:D

0x06 XOR.DDoS CNC伺服器中的.lptabLes殭屍網路集


在job.rar壓縮包中,攻擊者將攻擊我們網路所需的各種工具都打包進了這一個壓縮包裡面。它裡面包含下載模組killfile和用於結束程式的kill.txt,用於下載啟動檔案run.txt。我們已經在前面的章節中介紹過這個模組化的killfile ELF模組。

還有一個rootkit,我將會在最後一節中用一個影片來對程式碼進行說明。但是現在我想指出的是:在job.rar壓縮包中有一個.lptabLes|x客戶端(ELF)和它的服務端,殭屍網路CNC伺服器。job.rar包確實需要引起注意:

enter image description here

.lptabLes|x ELF客戶端二進位制檔案(ELF殭屍網路惡意軟體)我們已經在之前的文件中分析過-->[-1-][-2-]。這些二進位制檔案沒有任何新東西,只是用來連線到CNC殭屍網路(Windows PE)軟體執行的IP地址。我們直接將注意力集中到殭屍網路CNC軟體上來。

這個二進位制檔案是用.net編寫的。我們已經將其上傳到Virus Total上[link]。我製作了一個影片,以更加直觀的方式介紹CNC殭屍網路工具是怎麼樣工作的:

<embed>

為了瞭解殭屍網路CNC工具的細節,可以透過閱讀我們製作的逆向原始碼來學習,我們對程式碼進行了處理(為了讓程式碼不能被重用,但是很容易閱讀)。透過下面連結可以獲得: https://pastebin.com/xDCipBY1

下面是 IptabLes|x 客戶端和CNC 殭屍網路工具的MD5列表:

MD5 (777.hb) = "e2a9b9fc7d5e44ea91a2242027c2f725"
MD5 (888.hb) = "ff1a6cc1e22c64270c9b24d466b88540"
MD5 (901.hb) = "c0233fc30df55334f36123ca0c4d4adf"
MD5 (903.hb) = "f240b3494771008a1271538798e6c799"
MD5 (905.hb) = "603f16c558fed2ea2a6d0cce82c3ba3a"
MD5 (Control.exe) = "315d102f1f6b3c6298f6df31daf03dcd"

enter image description here

0x07 “Linux/KillFile”工具集:xxz.rar,kill.txt,run.txt


在job.rar[link]中,有一個Linux/KillFile惡意軟體,偽裝成為一個xxz.rar的壓縮檔案。Linux/KillFile的工作邏輯和之前章節介紹的一模一樣[link],區別在於,之前的兩個樣本都是執行其他與感染無關的功能,但是這個是為了感染而生的。它所扮演的角色就是下載和安裝前面介紹的Linux/IptabLes|x殭屍網路客戶端。

這個版本的Linux/KillFile,當執行了下載的檔案之後,它使用虛假的Microsoft版本資訊來進行偽裝。

enter image description here

另外一個大的不同是,與host連線時的資料和從遠端主機獲取的資料:

enter image description here

我們據此獲得新的ip:61.33.28.194和115.23.172.47,同樣的都是位於韓國:

{
  "ip": "61.33.28.194",
  "hostname": "No Hostname",
  "city": null,
  "country": "KR",
  "loc": "37.5700,126.9800",
  "org": "AS3786 LG DACOM Corporation"
}

我非常肯定et2046.com域名是被控制的,如果是攻擊者控制的,下面的按時間序排列的IP資料連線到et2046.com,一定就會連線到攻擊者。

115.23.172.31 (current) 
115.23.172.6 (May 2014) 
115.23.172.47 (current)

我很奇怪的是為什麼使用了這麼多的韓國IP地址,韓國的網路執法部門需要對此引起重視。

0x08 “xwsniff rootkit”原始碼


本節中,我製作了一個影片來講解xwsniff rootkit原始碼,展示了所有的原始碼,不方便用語言表示的。這就是一份網路犯罪的證據。該rootkit在CNC集裡面的多個地方被找到。包括在針對目標的壓縮包job.rar裡。不用懷疑的是,其中一個功能就是獲得被感染伺服器的root許可權。這對讀者來說也是學習瞭解rootkit最安全的方法,為了在以後能更好的防護我們自己。一樣的,我們也對原始碼進行了處理來進行保護,防止被壞人利用。

這份xwsniff rootkit安裝包裡面,有FTP守護程式(現在我們知道了為什麼他們要停止ftp PIDl ),OpenSSH和PAM原始碼,加上stealth rootkit的一部分,透過編譯結合在一起,並擁有自己的核心程式碼。被感染的NIX系統將會受到極大的破壞,沒有手工清除該rootkit的方法。所以我建議讀者重灌。這個rootkit是為linux系統設計的,但是經過少量修改就可以用於所有NIX系統。

為了實現功能,它擁有威力強大的函式,能讓受害者無法知道是不是被感染了,在shell裡面的安插後門和透過http下載,只需要新增幾個函式。好了,說的太多了,我們直接看影片吧。

<embed>

0x09 CNC殭屍網路的基礎資源


下面的IP地址都是用來實施感染的:

"43.255.188.2" (shellshock landing)
"103.20.195.254" (shellshock landing)
"122.10.85.54"  (shellshock landing)
"103.240.141.54" (Xor.DDoS CNC server)
"211.110.1.32" (Xor.DDoS CNC server)
"115.23.172.31" (.IptabLes|x download server)
"115.23.172.47" (.IptabLes|x download server)
"61.33.28.194" (.IptabLes|x download server)
"115.23.172.6" (Iptables|x previous IP record)

他們的地址:

enter image description here

下面是用於感染的主機域名:

kill.et2046.com
sb.et2046.com
www1.gggatat456.com
GroUndHog.MapSnode.CoM

0x0a 下一步打算


對於這次事件,還有很多工作需要做。舉個例子,我們上傳所有樣本到VT,包括killfile,XOR.DDoS下載者ELF模組。但是我們不分享rootkit,除了反病毒公司和執法部門。因為他是危險的工具。請閱讀我們的法律宣告-->link。請給我們時間來準備新的分享。在下面的評論區表達你們的希望與要求,別忘了附上你完整的email地址。

我們會在kernelmode論壇分享樣本,只為了研究目的。同樣上傳給VirusTotalLinux/KillFile已經上傳到kernelmode[link]和VT[link].IptabLes|x botnet CNC tool WInPE(.NET)在kernelmode做了限制性分享[link]。其他的都上傳到VT但是沒有分享到kernelmode,因為都感染了其他病毒。 Rootkie原始碼從20/07/2015開始分享,現在開始接受請求。

推特賬號: @MalwareMustDie


感謝原作者辛勤的工作! 結尾一段,與正文關係不大,略去沒翻譯。 本人水平有限,錯誤難免,還請指出!拜謝!

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章