一、前言
文章插图
近期光通天下团队捕获到名为stianke_trojan.bak的恶意样本,经过样本初步分析确认该病毒类型linux.Trojan.Generic.DDoS 。
样本md5值等信息如下:
MD5:43a5c08bfac85e097b1eceeafaeeec40SHA-1:9e9680e492bfcdf894bdedc92dc25848f0474f1dFile Type ELF Magic: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped TRiD ELF Executable and Linkable format (Linux) (50.1%) ELF Executable and Linkable format (generic) (49.8%) File Size 1.17 MB此次捕获到的病毒家族庞大,变种复杂多样,运用了大量的关键字符加密(动态解密过程) 。利用linux特性,感染大量系统文件(高效、非临时性)作为自我保护与持续性攻击的手段 。
利用Linux系统原理巧妙伪装与隐藏,被感染服务器植入后门,发动DDos网络攻击,如果被木马植入,将会带来极大的危害及不可预估的损失 。
二、行为分析
观察病毒是否加壳进行了免杀处理,通过查壳并未加壳,如下所示:
文章插图
图片一:查壳
病毒拖入虚拟机或沙箱进行运行,动态观察病毒对系统恶意行为,如修改配置、网络操作等,对病毒行为结果做到心中有数,如下所示:
文章插图
文章插图
图片二:行为监控
三、样本详细分析
(1)样本执行流程分析
拖入IDA中观察样本的复杂程度如下所示:
文章插图
图片三:IDA VIEW
利用字符串交叉引用提取有效的字符串信息,其中提取大量的DDos所攻击的ip(高达300以上),ip源基本都是中国境内的,如下所示:
文章插图
图片四:目标ip源
定位到病毒入口点,经样本动态调试,执行流程大体如下:
文章插图
文章插图
文章插图
图片五:病毒执行流程
(2)动态解密字符串模块
解密数据赋值给全局变量:
文章插图
文章插图
图片六:动态解密数据
通过字符串动态解密,最后解密出正确的ip域名端口等数据:
文章插图
图片七:ip/域名/port
最终整理全局变量被赋值的数据,如下所示:
文章插图
文章插图
图片八:域名解析
(3)MainBeikong模块
观察执行流程会发现,当病毒第一次执行的时候,g_iGatesType被赋值为1,则必然会进入到该函数,函数分析如下:
文章插图
图片九:MainBeikong
执行恶意代码,会先killPid与删除“/tmp/bill.lock”,,在启动目录下存在bash,然后还会判断一些文件且删除,保证唯一性(后面还会在创建该文件) 。
这时候就用到了前面的全局变量g_strSN(DbSecuritySpt)伪装在init.d与rc目录下,通过查看写入文件数据,是病毒源文件绝对路径 。
文章插图
图片十:伪装启动源
使用自己封装的函数MkdirPid,创建文件且写入线程文件,我们通过sysdig或者动态执行代码后,追踪恶意行为,这时候创建以全局变量g_strGL(lod)后缀的文件记录Pid如下所示:
【针对国内IP发起攻击的DDoS样本分析】
推荐阅读
- 国内公开首个月球样本实验室的意义 月球土壤研究成果
- lv2021早春什么时候上市 lv2021新款五合一国内什么时候出
- 国产化妆品哪个牌子好 国内化妆品牌排行榜
- 锡兰红茶的价格和品质优于国内红茶
- 国内最长跨海地铁隧道 最长过海地铁隧道贯通
- 喝茶存在的6误区
- 华为手机的5个小功能
- 智能手机|国内各大手机品牌已削减近20%订单:你多久没换手机了?
- Python5大主要用途
- 人力资源|卑微求职内涵李宇春!怒揭公司老底遭针对,何洁为何沦落于此?