Linux下DDOS攻击木马分析报告

简介: 本文讲的是Linux下DDOS攻击木马分析报告,在最近的一次给用户做服务器系统安全检测的过程中发现一台服务器,频繁向外发包,网页打开缓慢,上服务器提取了样本的情况分析如下:
本文讲的是 Linux下DDOS攻击木马分析报告在最近的一次给用户做服务器系统安全检测的过程中发现一台服务器,频繁向外发包,网页打开缓慢,上服务器提取了样本的情况分析如下:

1. 样本基本信息

Linux下DDOS攻击木马分析报告

2. 样本概述

样本解密数据用以配置,安装各种不同的启动项,远程连接ip:www.linux#cc:6001(由于文件路径不同所连接的端口不一样,但是ip不变)。生成不同路径下的副本来执行守护,过滤等,释放ss.netstat等执行过滤病毒,木马端口信息。根据返回信息实施各种不同的类型的DDOS攻击。

3. 样本详细行为

1) 样本解密字符串,根据揭秘后的数据配置样本有的功能。是否安装自启动,是否执行后门行为,配置远程服务器ip 等。

Linux下DDOS攻击木马分析报告

第一数据解密后的全局变量

Linux下DDOS攻击木马分析报告

第二数据解密后的全局变量

2) 根据当前路径设置执行不同功能的g_iGatesType的值。

Linux下DDOS攻击木马分析报告

g_iGatesType  =  0                                  /usr/bin/.sshd
g_iGatesType  =  1  其他路径
g_iGatesType  =  2   /usr/bin/bsd-port/getty
g_iGatesType  =  3 aBinNetstat     ; "/bin/netstat"
       aBinLsof        ; "/bin/lsof"
       aBinPs          ; "/bin/ps"
      aBinSs          ; "/bin/ss"
        aUsrBinNetstat  ; "/usr/bin/netstat"
                                      aUsrBinLsof     ; "/usr/bin/lsof"
                                      aUsrBinPs       ; "/usr/bin/ps"
                                      aUsrBinSs       ; "/usr/bin/ss"
                                       aUsrSbinNetstat ; "/usr/sbin/netstat"
                                      aUsrSbinLsof    ; "/usr/sbin/lsof"
                                      aUsrSbinPs      ; "/usr/sbin/ps"
                                      aUsrSbinSs      ; "/usr/sbin/ss"

3) 根据g_iGatesType的值执行不同功能。

(1) 当g_iGatesType  ==  0,执行MainMonitor功能;

创建子进程向/tmp/moni.lod文件写入.sshd进程号。读取/tmp/notify.file文件数据,并删除/tmp/notify.file文件,线程循环挂起1分钟。

Linux下DDOS攻击木马分析报告

MainMonitor功能

(2) 当g_iGatesType  ==  1,执行MainBeikong功能;

1.结束/tmp/moni.lod 进程,结束/tmp/bill.lock进程并删除。

2.根据配置数据的值,创建自启动项/etc/init.d/DbSecuritySpt,并写入

“#!/bin/bashn(filefullname)n”(filefullname为当前进程的全路径),创建自启动项

/etc/rc(1-5).d/S97DbSecuritySpt,写入数据“#!/bin/bashn(filefullname)n”(filefullname为当前进程的全路径)。

3.判断当前的g_iDoBackdoor的值和当前进程是否root用户创建,如果均合乎要求,则结束进程/usr/bin/bsd-port/getty.lock,结束进程/usr/bin/bsd-port/udevd.lock并删除,但由于2文件均不是elf可执行文件,这里的代码只是单纯地删除/usr/bin/bsd-port/udevd.lock文件。system shell命令执行拷贝进程文件于/usr/bin/bsd-port/getty。

4.判断时候当前进程是root执行的程序,如果是则system shell命令执行拷贝进程文件于/usr/bin/.sshd。

5.如果不是root用户执行的程序,则删除/tmp/notify.file.

6.执行MainProcess(),删除当前进程目录下的update_temporary文件。初始化dns配置,在/etc/resolv.conf添加dns源8.8.8.8和8.8.4.4。初始化配置信息(conf.n),初始化命令数据(cmd.n文件),初始化基本信息(包括系统,cpu信息,cpu使用信息,net使用信息,内存信息,磁盘信息),初始化330个DNS地址,获取进程路径下的xpacket.ko驱动文件并加载。读取/usr/lib/libamplify.so文件配置amp资源数据。根据初始化的数据,连接远程地址ip:www.linux#cc:54182,发送本机信息等,根据返回数据报配置攻击。

Linux下DDOS攻击木马分析报告

MainProcess功能

Linux下DDOS攻击木马分析报告

根据返回包的中数据,发起不同种攻击

(3) 当g_iGatesType  ==  2,执行 MainBackdoor功能

创建子进程,判断/usr/bin/bsd-port/getty.lock文件是否存在,如果存在创建/etc/init.d/selinux和/etc/rc(1-5).d/S99selinux启动项文件, 写入数据“#!/bin/bashn(filefullname)n”(filefullname为当前进程的全路径),在/usr/bin/dpkgd/目录下生成netstat,lsof,ps,ss文件设置文件为0755文件属性,而且执行了MainProcess()(功能同上一个一样)。

Linux下DDOS攻击木马分析报告

Mainbackdoor功能

(4) 当 g_iGatesType  ==  3,执行 MainSystool 功能调用/usr/bin/dpkgd/下的netstat,lsof,ps,ss程序,过滤掉样本目录进程目录,服务端通信端口输出。

Linux下DDOS攻击木马分析报告

4. 总结

样本设置各种自启动,创建中路径下的子副本以实施各种不同的功能,过滤输出阻断分析远程连接服务器,完成发出各种攻击。




原文发布时间为:2017年1月24日
本文作者:神州网云
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
1天前
|
监控 负载均衡 安全
什么是DDoS攻击及如何防护DDOS攻击
通过上述防护措施,企业和组织可以构建全面的DDoS防护体系,有效抵御各类DDoS攻击,确保网络和服务的稳定运行。
22 10
|
2月前
|
网络协议 安全 网络安全
如何识别DDOS攻击模式?
【10月更文挑战第12天】如何识别DDOS攻击模式?
113 18
|
25天前
|
数据采集 边缘计算 安全
高防CDN防御ddos攻击的效果怎么样
如在线购物、支付及娱乐。然而,随着企业价值和知名度提升,它们可能遭受竞争对手或黑客的DDoS攻击,即通过大量僵尸网络使目标服务器过载,导致服务中断,造成经济损失和声誉损害。针对这一挑战,天下数据推出的高防CDN不仅具备传统CDN的加速功能,还能有效抵御DDoS攻击,保护企业网络安全。
44 0
|
2月前
|
监控 网络协议 网络安全
识别DDoS攻击
【10月更文挑战第12天】识别DDoS攻击
72 16
|
2月前
|
网络协议 安全 网络安全
DDoS攻击有哪些常见形式?
【10月更文挑战第13天】DDoS攻击有哪些常见形式?
237 14
|
2月前
|
安全 网络协议 网络安全
DDoS攻击的模式
【10月更文挑战第13天】DDoS攻击的模式
73 12
|
2月前
|
监控 安全 网络协议
DDoS攻击
【10月更文挑战第12天】DDoS攻击
116 12
|
1月前
|
网络协议 安全 物联网
网络安全涨知识:基础网络攻防之DDoS攻击
网络安全涨知识:基础网络攻防之DDoS攻击
72 0
|
2月前
|
监控 安全 JavaScript
DDoS攻击趋势令人担忧,安全防御体系构建指南
DDoS攻击趋势令人担忧,安全防御体系构建指南
70 1
|
2月前
|
人工智能 安全 网络安全
基于阿里云平台帮助出海企业应对DDoS攻击
基于阿里云平台帮助出海企业应对DDoS攻击
下一篇
DataWorks