linux ddos恶意软件分析

◆0

好久没写文章了,正好吃完饭回来习惯性的翻翻twitter,一篇文章写的真是行云流水不翻译来真是可惜。</br> 废话不多说，这篇文章是一个针对恶意软件"Linux/XOR.DDoS" 感染事件分析，该恶意软件试图感染真正的linux服务器。原文：http://blog.malwaremustdie.org/2015/06/mmd-0033-2015-linuxxorddos-infection_23.html</br>
◆1 背景：

事件细节：
攻击源：通过某种方式监控来到攻击来源107.182.141.40，可以看到这个ip的一些具体信息。
#!bash"ip": "107.182.141.40","hostname": "40-141-182-107-static.reverse.queryfoundry.net","city": "Los Angeles","region": "California","country": "US","loc": "34.0530,-118.2642","org": "AS62638 Query Foundry, LLC","postal": "90017","phone": "213"攻击者登录通过ssh密码登录一台linux：
#!bash[2015-06-23 01:29:42]: New connection: 107.182.141.40:41625[2015-06-23 01:29:42]: Client version: [SSH-2.0-PUTTY][2015-06-23 01:29:43]: Login succeeded [***/***]然后通过shell执行了如下命令：

图片：2015062502484455635001.png

然后恶意软件启动命令在受感染机器上执行。

图片：2015062502484455635001.png

攻击者使用的Web服务器（域：44ro4.cn）面板截图，当时采取的攻击执行步骤。

图片：2015062502484455635001.png

这个web上的ip信息：
#!bash"ip": "198.15.234.66","hostname": "No Hostname","city": "Nanjing","region": "Jiangsu","country": "CN","loc": "32.0617,118.7778","org": "AS11282 SERVERYOU INC","postal": "210004"通过dig 发现该ip的一些附加域信息：
#!bash;; QUESTION SECTION:;44ro4.cn. IN A;; ANSWER SECTION:44ro4.cn. 600 IN A 23.228.238.13144ro4.cn. 600 IN A 198.15.234.66;; AUTHORITY SECTION:44ro4.cn. 3596 IN NS ns2.51dns.com.44ro4.cn. 3596 IN NS ns1.51dns.com.下边是更多的证据：

图片：2015062502484455635001.png

◆2 感染的方法，伪装和总结

通过进一步研究恶意软件，该软件看起来像是ZIP压缩文件的恶意软件，从文件格式上看出像是一个shell脚本的恶意软件安装程序见下图：

图片：2015062502484455635001.png

图片：2015062502484455635001.png

这是Linux/XorDDOSs，这种恶意软件的感染后使作为BOT被感染的机器，远程控制的恶意程序，配置，拒绝IP，程序和配置。他们使用的是XOR'ed加密通信，发送预先与MD5编码过程。该恶意软件的精灵的主要功能是为一个隐形的DDoS攻击的僵尸网络。
这一事件的重要亮点和恶意软件使用：

[*]我们使用用于此恶意软件感染的基础设施 (攻击者的IP来自美国主机，一个IP用于感染)
[*]总在Linux/XorDDOSs，多个主机的使用：四数控系统。三的人建议是硬编码在主机名（有相关的领域），从被感染的机器接收回调，而其中的主机充当下载服务器被感染的机器要求后门下载可疑的恶意文件。
[*]异或加密功能是用现在解密滴，读取配置文件从远程主机下载（是的，它似乎被下载的配置文件），并发送通信数据。

这里是poc：
这些是cnc 与kernel的交互信息，这里用到了调试神器strace.

图片：2015062502484455635001.png

通过恶意软件交互分析到的dns请求：

图片：2015062502484455635001.png

tcpdump中的timestamp时间戳。
#!bash08:21:20.078878 IP mmd.bangs.xorddos.40274 > 8.8.8.8: 27458+ A? aa.hostasa.org. (32)08:21:20.080602 IP mmd.bangs.xorddos.38988 > 8.8.8.8: 44387+ A? ns4.hostasa.org. (33)08:21:25.092061 IP mmd.bangs.xorddos.45477 > 8.8.8.8: 58191+ A? ns3.hostasa.org. (33)08:21:25.269790 IP mmd.bangs.xorddos.51687 > 8.8.8.8: 22201+ A? ns2.hostasa.org. (33)和cnc(hostasa.org)建立连接，注意它使用google dns的方式：

图片：2015062502484455635001.png

cnc（hostasa.org）回调都是加密的，这是在2个独立的地方初步回调。

图片：2015062502484455635001.png

通过解密它的请求，这里记录了一些解密图：

图片：2015062502484455635001.png

这里是代码中通讯二进制编码部分：

图片：2015062502484455635001.png

下载者：

图片：2015062502484455635001.png

这里是下载函数硬编码在二进制里

图片：2015062502484455635001.png

也有确凿的证据在wireshark抓包通信中，如图：

图片：2015062502484455635001.png

◆3 有趣的事实

这些都是用恶意软件项目的源代码文件，它是Linux/xor.ddos集编译设置（在C语言中，没有"+"。）作者很无耻的收藏了，这里我帮他翻译下。

图片：2015062502484455635001.png

恶意软件的脚本在二进制中编码，这是通用的很多恶意软件在中国制造。

图片：2015062502484455635001.png

发现XOR加密运行安装程序和"据说"用于解密的配置数据，在样本我破解的关键是BB2FA36AAA9541F0

图片：2015062502484455635001.png

这是自我复制的恶意软件的安装文件，使用逆向工具追踪代码，可以看到这里：

图片：2015062502484455635001.png

和这里：

图片：2015062502484455635001.png

acl功能，拒绝访问的ip，来保护受感染的主机。

图片：2015062502484455635001.png

◆4 对于恶意软件作者追踪

通过逆向分析得到的数据，cnc使用的dns记录在下边：
#!bash;; ANSWER SECTION:aa.hostasa.org. 300 IN A 23.234.60.143ns2.hostasa.org.300 IN A 103.240.140.152ns3.hostasa.org.300 IN A 103.240.141.54ns4.hostasa.org.300 IN A 192.126.126.64;; AUTHORITY SECTION:hostasa.org.3600IN NS ns4lny.domain-resolution.net.hostasa.org.3600IN NS ns1cnb.domain-resolution.net.hostasa.org.3600IN NS ns3cna.domain-resolution.net.hostasa.org.3600IN NS ns2dky.domain-resolution.net.;; ADDITIONAL SECTION:ns3cna.domain-resolution.net. 2669 IN A 98.124.246.2ns2dky.domain-resolution.net. 649 INA 98.124.246.1ns1cnb.domain-resolution.net. 159 INA 50.23.84.77ns4lny.domain-resolution.net. 2772 IN A 98.124.217.1经过分析，活着的cnc（hostasa.org）服务器在美国。
#!bash"ip": "23.234.60.143","hostname": "No Hostname","city": "Newark","region": "Delaware","country": "US","loc": "39.7151,-75.7306","org": "AS26484 HOSTSPACE NETWORKS LLC","postal": "19711""ip": "192.126.126.64","hostname": "No Hostname","city": "Los Angeles","region": "California","country": "US","loc": "34.0530,-118.2642","org": "AS26484 HOSTSPACE NETWORKS LLC","postal": "90017"其他的cnc（hostasa.org）服务器在香港。
#!bash"ip": "103.240.140.152","hostname": "No Hostname","city": "Central District","country": "HK","loc": "22.2833,114.1500","org": "AS62466 ClearDDoS Technologies""ip": "103.240.141.54","hostname": "No Hostname","city": "Central District","country": "HK","loc": "22.2833,114.1500","org": "AS62466 ClearDDoS Technologies"域名hostasa.org无法证明是用于恶意目的的怀疑，3台主机看起来像一个DNS服务器，下面是注册的数据来自Name.com那里注册.org，与隐私保护：
#!bashDomain Name:"HOSTASA.ORG"Domain ID: 2D175880649-LROR""Creation Date: 2015-03-31T06:56:01ZUpdated Date: 2015-05-31T03:45:36Z"Registry Expiry Date: 2016-03-31T06:56:01ZSponsoring Registrar:"Name.com, LLC (R1288-LROR)"Sponsoring Registrar IANA ID: 625WHOIS Server:Referral URL:Domain Status: clientTransferProhibited -- http://www.icann.org/epp#clientTransferProhibitedRegistrant ID:necwp72276k4nva0Registrant Name:Whois AgentRegistrant Organization:Whois Privacy Protection Service, Inc.Registrant Street: PO Box 639Registrant City:KirklandRegistrant State/Province:WARegistrant Postal Code:98083Registrant Country:USRegistrant Phone:+1.4252740657Registrant Phone Ext:Registrant Fax: +1.4259744730Registrant Fax Ext:Registrant Email:[email&#160;protected]Tech Email:[email&#160;protected]Name Server:NS3CNA.DOMAIN-RESOLUTION.NETName Server:NS1CNB.DOMAIN-RESOLUTION.NETName Server:NS2DKY.DOMAIN-RESOLUTION.NETName Server:NS4LNY.DOMAIN-RESOLUTION.NETDNSSEC:Unsigned此外，所使用的44ro4.cn域，这是DNS指向恶意的payload的Web页面，这不是巧合，这是注册在下面的QQ ID和名称（可能是假的）：
#!bashDomain Name: 44ro4.cnROID: 20141229s10001s73492202-cnDomain Status: okRegistrant ID: ji27ikgt6kc203Registrant: "蔡厚泉 (Cai Hou Sien/Quan)"Registrant Contact Email: "[email&#160;protected]"Sponsoring Registrar: 北京新网数码信息技术有限公司Name Server: ns1.51dns.comName Server: ns2.51dns.comRegistration Time: 2014-12-29 10:13:43Expiration Time: 2015-12-29 10:13:43DNSSEC: unsignedPS：CNNIC有更多这样的注册信息，我把自由查询他们找到这个骗子用的和其他身份的几个可怜的cn域名，相同和不同的名字下，在同一个QQ：
Domain RegistrantID Name------------------------------n1o9n.cn ej55v35357p95m 沈涛u7ju0.cn ej55v35357p95m 沈涛568b5.cn ej55v35357p95m 沈涛93t9i.cn ej55v35357p95m 沈涛5ntdu.cn ej55v35357p95m 沈涛v90b8.cn ej55v35357p95m 沈涛av732.cn ej55v35357p95m 沈涛iqny7.cn ej55v35357p95m 沈涛ewkp7.cn ej55v35357p95m 沈涛8vu55.cn ji27ikgt6kc203 蔡厚泉tj17e.cn ej55v35357p95m 沈涛o88pn.cn ji27ikgt6kc203 蔡厚泉通过进一步的分析，发现如下信息和域名所有者信息相吻合。

图片：2015062502484455635001.png

看起来这个域名所有者是住在，住在附近的潭溪公交站在三元里街头，白云区，广州地区，中华人民共和国，按照该地图描述：

图片：2015062502484455635001.png

####注：文中的cnc处(就是HOSTASA.ORG)