linux ddos惡意軟體分析

0x00

這篇文章是一個針對惡意軟體"Linux/XOR.DDoS" 感染事件分析,該惡意軟體試圖感染真正的linux伺服器。

原文:http://blog.malwaremustdie.org/2015/06/mmd-0033-2015-linuxxorddos-infection_23.html

事件細節:

攻擊源:通過某種方式監控來到攻擊來源107.182.141.40,可以看到這個ip的一些具體資訊。

"ip": "107.182.141.40",
"hostname": "40-141-182-107-static.reverse.queryfoundry.net",
"city": "Los Angeles",
"region": "California",
"country": "US",
"loc": "34.0530,-118.2642",
"org": "AS62638 Query Foundry, LLC",
"postal": "90017",
"phone": "213"

攻擊者登錄通過ssh密碼登錄一台linux:

[2015-06-23 01:29:42]: New connection: 107.182.141.40:41625
[2015-06-23 01:29:42]: Client version: [SSH-2.0-PUTTY]
[2015-06-23 01:29:43]: Login succeeded [***/***]

然後通過shell執行了如下命令:

2015062502484455635001

然後惡意軟體啟動命令在受感染機器上執行。

2015062502484224405002

攻擊者使用的Web伺服器(域:44ro4.cn)面板截圖,當時採取的攻擊執行步驟。

2015062502484014642003

這個web上的ip資訊:

"ip": "198.15.234.66",
"hostname": "No Hostname",
"city": "Nanjing",
"region": "Jiangsu",
"country": "CN",
"loc": "32.0617,118.7778",
"org": "AS11282 SERVERYOU INC",
"postal": "210004"

通过dig 发现该ip的一些附加域信息:

;; QUESTION SECTION:
;44ro4.cn.                      IN      A

;; ANSWER SECTION:
44ro4.cn.               600     IN      A       23.228.238.131
44ro4.cn.               600     IN      A       198.15.234.66

;; AUTHORITY SECTION:
44ro4.cn.               3596    IN      NS      ns2.51dns.com.
44ro4.cn.               3596    IN      NS      ns1.51dns.com.

下邊是更多的證據:

2015062502483864657004

0x02 感染的方法,偽裝和總結

通過進一步研究惡意軟體,該軟體看起來像是ZIP壓縮檔的惡意軟體,從檔案格式上看出像是一個shell腳本的惡意軟體安裝程式見下圖:

2015062502483699398004-1

2015062502483487112005

這是Linux/XorDDOSs,這種惡意軟體的感染後使作為BOT被感染的機器,遠端控制的惡意程式,配置,拒絕IP,程式和配置。他們使用的是XOR'ed加密通信,發送預先與MD5編碼過程。該惡意軟體的精靈的主要功能是為一個隱形的DDoS攻擊的僵屍網路。

這一事件的重要亮點和惡意軟體使用:

1.  我們使用用於此惡意軟體感染的基礎設施 (攻擊者的IP來自美國主機,一個IP用於感染)

2.  總在Linux/XorDDOSs,多個主機的使用:四數控系統。三的人建議是硬編碼在主機名稱(有相關的領域),從被感染的機器接收回檔,而其中的主機充當下載伺服器被感染的機器要求後門下載可疑的惡意檔。

3.  異或加密功能是用現在解密滴,讀取設定檔從遠端主機下載(是的,它似乎被下載的設定檔),並發送通信資料。

這裡是poc:

這些是cnc 與kernel的交互資訊,這裡用到了調試神器strace.

2015062502483050258006

通過惡意軟體交互分析到的dns請求:

2015062502482875312007

tcpdump中的timestamp時間戳記。

08:21:20.078878 IP mmd.bangs.xorddos.40274 > 8.8.8.8: 27458+ A? aa.hostasa.org. (32)
08:21:20.080602 IP mmd.bangs.xorddos.38988 > 8.8.8.8: 44387+ A? ns4.hostasa.org. (33)
08:21:25.092061 IP mmd.bangs.xorddos.45477 > 8.8.8.8: 58191+ A? ns3.hostasa.org. (33)
08:21:25.269790 IP mmd.bangs.xorddos.51687 > 8.8.8.8: 22201+ A? ns2.hostasa.org. (33)

和cnc(hostasa.org)建立連接,注意它使用google dns的方式:

2015062502482566661008

cnc(hostasa.org)回檔都是加密的,這是在2個獨立的地方初步回檔。

2015062502482291518018

通過解密它的請求,這裡記錄了一些解密圖:

2015062502481586204019

這裡是代碼中通訊二進位編碼部分:

2015062502481198437020

下載者:

2015062502480994799x009

這裡是下載函數硬編碼在二進位裡

2015062502480672612017

也有確鑿的證據在wireshark抓包通信中,如圖:

2015062502480245665010

0x03 有趣的事實

這些都是用惡意軟體專案的原始程式碼檔,它是Linux/xor.ddos集編譯設置(在C語言中,沒有"+"。)作者很無恥的收藏了,這裡我幫他翻譯下。

2015062502475977160011

惡意軟體的腳本在二進位中編碼,這是通用的很多惡意軟體在中國製造。

2015062502475879346015

發現XOR加密運行安裝程式和"據說"用於解密的配置資料,在樣本我破解的關鍵是BB2FA36AAA9541F0

2015062502475434425x012

這是自我複製的惡意軟體的安裝檔,使用逆向工具追蹤代碼,可以看到這裡:

2015062502475115591013

和這裡:

2015062502474713975014

acl功能,拒絕訪問的ip,來保護受感染的主機。

0x04 對於惡意軟體作者追蹤

通過逆向分析得到的資料,cnc使用的dns記錄在下邊:

;; ANSWER SECTION:
aa.hostasa.org. 300 IN  A   23.234.60.143
ns2.hostasa.org.300 IN  A   103.240.140.152
ns3.hostasa.org.300 IN  A   103.240.141.54
ns4.hostasa.org.300 IN  A   192.126.126.64

;; AUTHORITY SECTION:
hostasa.org.3600IN  NS  ns4lny.domain-resolution.net.
hostasa.org.3600IN  NS  ns1cnb.domain-resolution.net.
hostasa.org.3600IN  NS  ns3cna.domain-resolution.net.
hostasa.org.3600IN  NS  ns2dky.domain-resolution.net.

;; ADDITIONAL SECTION:
ns3cna.domain-resolution.net. 2669 IN   A   98.124.246.2
ns2dky.domain-resolution.net. 649 INA   98.124.246.1
ns1cnb.domain-resolution.net. 159 INA   50.23.84.77
ns4lny.domain-resolution.net. 2772 IN   A   98.124.217.1

經過分析,活著的cnc(hostasa.org)伺服器在美國。

"ip": "23.234.60.143",
"hostname": "No Hostname",
"city": "Newark",
"region": "Delaware",
"country": "US",
"loc": "39.7151,-75.7306",
"org": "AS26484 HOSTSPACE NETWORKS LLC",
"postal": "19711"

"ip": "192.126.126.64",
"hostname": "No Hostname",
"city": "Los Angeles",
"region": "California",
"country": "US",
"loc": "34.0530,-118.2642",
"org": "AS26484 HOSTSPACE NETWORKS LLC",
"postal": "90017"

其他的cnc(hostasa.org)伺服器在香港。

"ip": "103.240.140.152",
"hostname": "No Hostname",
"city": "Central District",
"country": "HK",
"loc": "22.2833,114.1500",
"org": "AS62466 ClearDDoS Technologies"

"ip": "103.240.141.54",
"hostname": "No Hostname",
"city": "Central District",
"country": "HK",
"loc": "22.2833,114.1500",
"org": "AS62466 ClearDDoS Technologies"

功能變數名稱hostasa.org無法證明是用於惡意目的的懷疑,3台主機看起來像一個DNS伺服器,下面是註冊的資料來自Name.com那裡註冊.org,與隱私保護:

Domain Name:"HOSTASA.ORG"
Domain ID: 2D175880649-LROR"
"Creation Date: 2015-03-31T06:56:01Z
Updated Date: 2015-05-31T03:45:36Z"
Registry Expiry Date: 2016-03-31T06:56:01Z
Sponsoring Registrar:"Name.com, LLC (R1288-LROR)"
Sponsoring Registrar IANA ID: 625
WHOIS Server:
Referral URL:
Domain Status: clientTransferProhibited -- http://www.icann.org/epp#clientTransferProhibited
Registrant ID:necwp72276k4nva0
Registrant Name:Whois Agent
Registrant Organization:Whois Privacy Protection Service, Inc.
Registrant Street: PO Box 639
Registrant City:Kirkland
Registrant State/Province:WA
Registrant Postal Code:98083
Registrant Country:US
Registrant Phone:+1.4252740657
Registrant Phone Ext:
Registrant Fax: +1.4259744730
Registrant Fax Ext:
Registrant Email:hostasa.org@protecteddomainservices.com
Tech Email:hostasa.org@protecteddomainservices.com
Name Server:NS3CNA.DOMAIN-RESOLUTION.NET
Name Server:NS1CNB.DOMAIN-RESOLUTION.NET
Name Server:NS2DKY.DOMAIN-RESOLUTION.NET
Name Server:NS4LNY.DOMAIN-RESOLUTION.NET
DNSSEC:Unsigned

此外,所使用的44ro4.cn域,這是DNS指向惡意的payload的Web頁面,這不是巧合,這是註冊在下面的QQ ID和名稱(可能是假的):

Domain Name: 44ro4.cn
ROID: 20141229s10001s73492202-cn
Domain Status: ok
Registrant ID: ji27ikgt6kc203
Registrant: "蔡厚泉 (Cai Hou Sien/Quan)"
Registrant Contact Email: "2511916764@qq.com"
Sponsoring Registrar: 北京新網數碼資訊技術有限公司
Name Server: ns1.51dns.com
Name Server: ns2.51dns.com
Registration Time: 2014-12-29 10:13:43
Expiration Time: 2015-12-29 10:13:43
DNSSEC: unsigned

PS:CNNIC有更多這樣的註冊資訊,我把自由查詢他們找到這個騙子用的和其他身份的幾個可憐的cn功能變數名稱,相同和不同的名字下,在同一個QQ:

Domain   RegistrantID     Name
------------------------------
n1o9n.cn ej55v35357p95m   沈濤
u7ju0.cn ej55v35357p95m   沈濤
568b5.cn ej55v35357p95m   沈濤
93t9i.cn ej55v35357p95m   沈濤
5ntdu.cn ej55v35357p95m   沈濤
v90b8.cn ej55v35357p95m   沈濤
av732.cn ej55v35357p95m   沈濤
iqny7.cn ej55v35357p95m   沈濤
ewkp7.cn ej55v35357p95m   沈濤
8vu55.cn ji27ikgt6kc203   蔡厚泉
tj17e.cn ej55v35357p95m   沈濤
o88pn.cn ji27ikgt6kc203   蔡厚泉

通過進一步的分析,發現如下資訊和功能變數名稱所有者資訊相吻合。

 2015062502474283961002.1

看起來這個功能變數名稱所有者是住在,住在附近的潭溪公交站在三元里街頭,白雲區,廣州地區,中華人民共和國,按照該地圖描述:

2015062502473740529003.1

文章來源:http://drops.wooyun.org/tips/6711

圖片來源:https://pixabay.com/

您可能也會喜歡…

發表迴響