分析一个跨平台DDOS僵尸网络

从最近“恶意软件必须死”的帖子了解到一些关于DNS放大攻击相关的LINUX恶意软件样本。我对linux恶意软件的研究非常感兴趣,而且这个很特别,因为他有一个DDOS攻击模块,所以想深入了解一下。 将得到的恶意软件放到linux沙箱中运行,并连接到C&C。虽然我没有看到它有任何DDOS攻击活动,我还是通过PCAP(获取HTTP信息的工具)做了分析,波动图像在文章底部可见。 该恶意软件从hxxp://198.2. [.] 192.204:22/disknyp下载而来。样品的MD5哈希值是 260533ebd353c3075c9dddf7784e86f9。

C2的位置:190.115.20.27:59870。根据PCAP提供的信息,被入侵的主机连接到C2的时间为18:46。连接后,被入侵主机发送当前Linux内核信息–Linux 2.6.32-33-generic-pae。

有趣的是,C2是一个持久连接,它保持远程主机在端口59870的连接。在21:13时,C2发送75字节的十六进制信息:

大约每三十秒,C2就发送一个新的75字节序列,例如:

01:00:00:00:43:00:00:00:00:fd:05:00:00:00:00:00:00:01:00:00:00:01:00:00:00:80:d4:07:c6:9c:50:00:01:00:00:
00:00:00:00:00:1e:00:00:00:00:04:00:00:00:04:00:00:10:27:60:ea:ac:f5:a5:8f:ac:f5:a5:8f:00:00:00:00:00:d4:
07:c6:9c:50:0001:00:00:00:43:00:00:00:00:fe:05:00:00:00:00:00:00:01:00:00:00:01:00:00:00:80:d4:07:c7:d4:5
0:00:01:00:00:00:00:00:00:00:1e:00:00:00:00:04:00:00:00:04:00:00:10:27:60:ea:ac:f5:a5:8f:ac:f5:a5:8f:00:0
0:00:00:00:d4:07:c7:d4:50:0001:00:00:00:43:00:00:00:00:ff:05:00:00:00:00:00:00:01:00:00:00:01:00:00:00:80
:d4:07:c6:9b:50:00:01:00:00:00:00:00:00:00:1e:00:00:00:00:04:00:00:00:04:00:00:10:27:60:ea:ac:f5:a5:8f:ac
:f5:a5:8f:00:00:00:00:00:d4:07:c6:9b:50:00

像是一个计数器,每次从C2的每个序列递增,在十进制0XC6和0XC7之间开始发生变化,直到22:06时,变化值为:

01:00:00:00:43:00:00:00:00:1d:06:00:00:00:00:00:00:01:00:00:00:01:00:00:00:80:73:ee:ed:f5:58:1b:01:00:00:
00:00:00:00:00:0c:00:00:00:00:04:00:00:00:04:00:00:10:27:60:ea:ac:f5:a5:8f:ac:f5:a5:8f:00:00:00:00:00:73:
ee:ed:f5:58:1b01:00:00:00:43:00:00:00:00:1e:06:00:00:00:00:00:00:01:00:00:00:01:00:00:00:80:7a:e0:22:c7:5
8:1b:01:00:00:00:00:00:00:00:0c:00:00:00:00:04:00:00:00:04:00:00:10:27:60:ea:ac:f5:a5:8f:ac:f5:a5:8f:00:0
0:00:00:00:7a:e0:22:c7:58:1b01:00:00:00:43:00:00:00:00:1f:06:00:00:00:00:00:00:01:00:00:00:01:00:00:00:80
:0e:11:5f:4a:58:1b:01:00:00:00:00:00:00:00:0c:00:00:00:00:04:00:00:00:04:00:00:10:27:60:ea:ac:f5:a5:8f:ac
:f5:a5:8f:00:00:00:00:00:0e:11:5f:4a:58:1b01:00:00:00:43:00:00:00:00:20:06:00:00:00:00:00:00:01:00:00:00:
01:00:00:00:80:3d:84:e6:15:5b:1b:01:00:00:00:00:00:00:00:0c:00:00:00:00:04:00:00:00:04:00:00:10:27:60:ea:
ac:f5:a5:8f:ac:f5:a5:8f:00:00:00:00:00:3d:84:e6:15:5b:1b

机器人的回复再次以27字节序列回复,但小数偏移量19现在有一个值,该值在0-2之间:

00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:0000:00:00:00:00:00:00:00:0
0:00:00:00:00:00:00:00:00:00:00:01:00:00:00:00:00:00:0000:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:0
0:00:00:02:00:00:00:00:00:00:0000:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:0
0:00:0000:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00

内存映像波动图: Linux_pslist

“disknyp”进程开始运行时间23:45,PID为1241,子进程没有被记录。 Linux_lsof-p1241

“disknyp”进程,PID 1241 linux_proc_maps

/tmp/disknyp的路径就是原先disknyp的路径,在/user/tmp/生成了2个文件,“task.1241.0×8048000.vma”和“task.1241.0×8168000.vma”。 task.1241.0×8048000.vma: 32频率的声音文件,查看里面的代码:

看到字符串“fake.cfg”正式与此恶意软件相关的文件,我试图在文件中找到原来的/tmp目录:

linux_yarascan 让我们用“yarascan”插件,看看是否有在这个图像中的其他地方引用。

我们看到,字符串“fake.cfg”只可以在PID为1241进程“disknyp”找到,再次使用“linux_find_file”插件,我们可以看到“fake.cfg”位于节点0xed9dc088的内容:

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-01-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏数据魔术师

数据技术|十分钟教会你写网络爬虫程序

写在前面 临近双11,小伙伴们都开始忙着剁手了。蛋是,这个学习还是不能落下的。那么,今天小编又给大家带来什么好玩的玩意儿呢? 那自然是 神奇&&牛掰 爬虫技术 ...

1.1K110
来自专栏黑白安全

Linux新手渗透指南:从枚举到内核利用

许多人都认为Linux是最安全的操作系统,因此在对Linux的安全问题上也放松了警惕。那么事实真的如此吗?其实安全从来都只是相对的,Linux也不例外。虽然它加...

20730
来自专栏用户2442861的专栏

Java 运行原理

http://blog.csdn.net/bingduanlbd/article/details/8332664  (java不错)

17710
来自专栏木子昭的博客

网络测速插件speedtest

当上网速度很慢的时候, 人们想到的第一件事就进行网络测速,在window上, 只要你安装了360全家桶, 测速功能就是默认安装的, 但其实测速这种功能根本不需要...

82660
来自专栏北京马哥教育

Python安全运维实战:针对几种特定隐藏方式的Webshell查杀

作者:北门喂猫 来源: http://www.freebuf.com/articles/web/131350.html Webshell一直都是...

30830
来自专栏晨星先生的自留地

渗透某网站

32250
来自专栏FreeBuf

用搜索神器Everything定位Webshell木马后门

Everything是速度最快的文件名搜索软件。其速度之快令人震惊,百G硬盘几十万个文件,可以在几秒钟之内完成索引;文件名搜索瞬间呈现结果。它小巧免费,支持中文...

33980
来自专栏逢魔安全实验室

DedeCMS任意用户密码重置漏洞

综述 2018年01月09日,Dedecms官方更新了DedeCMS V5.7 SP2正式版,后续在10日有网友爆出其存在任意用户密码重置漏洞。...

36630
来自专栏Python中文社区

Python多进程并行编程实践:以multiprocessing模块为例

專 欄 ❈Pytlab,Python 中文社区专栏作者。主要从事科学计算与高性能计算领域的应用,主要语言为Python,C,C++。熟悉数值算法(最优化方法,...

69390
来自专栏安恒网络空间安全讲武堂

2018红帽杯线下攻防赛Web总结

32530

扫码关注云+社区

领取腾讯云代金券