针对国内IP发起攻击的DDoS样本分析

稿件来源:光通天下

2019-05-16

01  前言


近期光通天下团队捕获到名为stianke_trojan.bak的恶意样本,经过样本初步分析确认该病毒类型Linux.Trojan.Generic.DDos,样本md5值等信息如下:


MD5: 43a5c08bfac85e097b1eceeafaeeec40

SHA-1: 9e9680e492bfcdf894bdedc92dc25848f0474f1d

File Type ELF

Magic: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped

TRiD ELF Executable and Linkable format (Linux) (50.1%)

ELF Executable and Linkable format (generic) (49.8%)

File Size 1.17 MB

 

此次捕获到的病毒家族庞大,变种复杂多样,运用了大量的关键字符加密(动态解密过程)。利用linux特性,感染大量系统文件(高效、非临时性)作为自我保护与持续性攻击的手段。

利用Linux系统原理巧妙伪装与隐藏,被感染服务器植入后门,发动DDos网络攻击,如果被木马植入,将会带来极大的危害及不可预估的损失。

02  行为分析

➀观察病毒是否加壳进行了免杀处理,通过查壳并未加壳,如下所示:

 

图片一:查壳

➁病毒拖入虚拟机或沙箱进行运行,动态观察病毒对系统恶意行为,如修改配置、网络操作等,对病毒行为结果做到心中有数,如下所示:

图片二:行为监控

03  样本详细分析

(1)样本执行流程分析

①拖入IDA中观察样本的复杂程度如下所示:  

图片三:IDA VIEW

②利用字符串交叉引用提取有效的字符串信息,其中提取大量的DDos所攻击的ip(高达300以上),ip源基本都是中国境内的,如下所示:

图片四:目标ip源

③定位到病毒入口点,经样本动态调试,执行流程大体如下:

图片五:病毒执行流程

 

(2)动态解密字符串模块

④ 解密数据赋值给全局变量

图片六:动态解密数据

⑤通过字符串动态解密,最后解密出正确的ip域名端口等数据: 

图片七:ip/域名/port

⑥最终整理全局变量被赋值的数据,如下所示:

图片八:域名解析

(3)MainBeikong模块

⑦观察执行流程会发现,当病毒第一次执行的时候,g_iGatesType被赋值为1,则必然会进入到该函数,函数分析如下:

 图片九:MainBeikong

执行恶意代码,会先killPid与删除“/tmp/bill.lock”,,在启动目录下存在bash,然后还会判断一些文件且删除,保证唯一性(后面还会在创建该文件)。

⑧这时候就用到了前面的全局变量g_strSN(DbSecuritySpt)伪装在init.d与rc目录下,通过查看写入文件数据,是病毒源文件绝对路径。 

图片十:伪装启动源

⑨使用自己封装的函数MkdirPid,创建文件且写入线程文件,我们通过sysdig或者动态执行代码后,追踪恶意行为,这时候创建以全局变量g_strGL(lod)后缀的文件记录Pid如下所示:

 图片十一:写入Pid

⑩MainBeikong函数进入了结尾,函数清理了环境(因为每执行一个函数就会fork()创建新进程,退出当前进程),把自己加入系统服务中,为下一步执行MainBackdoovr做预热准备,如下所示:

图片十二:MainBeikong

(注:windows使用OD等工具可以在新线程创建回调进行附加下断,也可以在Thread 运行回调时候可以下断,Linux fork或者processthread配合exit就很难下断新进程,提供思路,使用IDC写脚本修改二进制机器码与汇编指令,达到实现完整的动态调试效果。)

(4)MainBackdoorv模块

⑪MainBackdoorv函数是病毒中尤为重要一个环节,这里是恶意攻击的执行点,也是重点分析的函数,如下所示: 

图片十三:MainBackdoorv

⑫该函数会判断是否已存在getty.lock.ak,g_strBDG(selinux)全局变量解密的数据创建的文件,如果不存在则创建该文件且获取全局变量g_strBDSN,selinux针对getty文件,如下所示:

图片十四:selinux伪装

(5)MainProcess模块

⑬MainProcess包含了C&C通信,自己也构建了服务端,创建了大量的线程(多线程方式),有着良好的线程锁与线程池来控制攻击线程。不同的操作使用了不同封装类来调用对象执行,用this作为参数,而this作为回调函数列表,以指针偏移方式去寻址调用恶意代码,是一个非常复杂的函数,重点分析如下:

图片十五:MainProcess执行流程

⑭MainProcess先是利用了谷歌公开的服务器更新了域名,网络抓包如图八,这个比较有意思,如下所示:

 图片十六:InitDnsCache

⑮接着初始化了大量的攻击ip,如图四所示,感染了/usr/lib/libamplify.so动态链接模块,而且初始化了ATK(攻击)模块及this偏移,如下所示:

图片十七:ATK模块

⑯动态调试过程中还发现了函数感染了大量的文件,并拥有755的权限,提取被感染的文件名称,如下所示: 

图片十八:被感染文件

⑰线程创建及类Manager调用,使用Socket创建了服务端,用来接收客户端(ip组中返回的数据),Send发送大量的数据如下所示: 

图片十九:SocketDDos

⑱这个样本比较独特的地方,维护了很多对象,对this指针进行调用列表赋值,作为创建新线程参数传入。在构造函数里进行了初始化,在析构释放执行了部分操作,如下所示: 

图片二十:ObjectRef

⑲最后找到了关键攻击函数ProssMain,封装了各类型的DDoS攻击,如下所示:

 图片二十一:DDos攻击封装

(Ps:附上一张DDoS攻击状态图(模拟),直观的感受DDoS对服务器带来的性能影响与危害。)

 图片二十二:DDos攻击感官图

04  恶意域名,IP及被攻击IP整理

恶意域名:

Lea.f3322.org  103.73.160.25(中国香港)

控制端-恶意IP:

130.73.160.25:2500 (德国柏林州柏林)

被攻击IP(331 个,大部分在中国):

61.132.163.68

202.102.192.68

202.102.213.68

...

221.7.92.86

221.7.92.98

05  病毒处理及加固措施

根据病毒的行为与样本分析定性,清理被感染的文件及尝试恢感染的数据,对服务器进行加固,编写伪脚本如下(需要配合实际情况): 

图片二十三:病毒处理及数据恢复脚本


06  总结

经过病毒的全面分析,入侵系统以后,执行了大量的恶意代码,感染文件、加载内核模块、伪装隐藏等恶意行为,目的发动各种形式的DDos攻击。

单纯的观察行为是很难排查与定位,无法捕获到病毒执行过程与文件数据感染的具体情况。管理人员应该加强安全防范意识,有良好的网络监控服务(如DDos监控)日志审计等,第一时间掌控服务器健康状态,从而及时发现、排查、追踪、定位、分析、处理,将病毒造成的损害降至最低点。

现在开始,体验睿盾云安全服务

客户服务
live chat