DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

海外高防_网络安全方案_超稳定

09-17 WEB安全

一、事件背景
根据某客户现场反应,部署在网络环境中的深信服安全感知系统报警,某Linux服务器经常出现apache的conf文件被篡改后出现挂黑链的情况,并且偶尔出现大规模的DDOS外发现象恶意进程删除后会自动重启,无法彻底删除。
深信服EDR安全团队快速定位,捕获到了相应的病毒样本,通过分析确认此样本是Linux.BackDoor.Xnote.1恶意样本的最新变种,感染方式与之前类似。
此样本在VT()上的截图信息,如下所示:

Linux.BackDoor.Xnote.1最新变种来袭


目前只有少数几家安全厂商能识别出此恶意样本。
二、样本流程图
病毒主体进程守护,如图:

Linux.BackDoor.Xnote.1最新变种来袭


说明:病毒先将自身启动代码写入系统启动读取的配置文件中,系统每一次启动都会先读取配置文件后加载病毒文件dump_tcp,再由它来释放出另一个病毒文件到tmp目录下。病毒文件dump_tcp在系统中会创建三个相同的进程[ksoftirqd/7],并互为守护进程。
病毒母体运行流程,如图:

Linux.BackDoor.Xnote.1最新变种来袭


三、样本简介
Linux.BackDoor.Xnote.1最早是由国外安全公司Dr.Web发现,该木马功能完善,主要通过爆力破解服务器SSH,感染服务器主机,然后利用服务器主机对相应的IP地址发起DDOS攻击。
Linux.BackDoor.Xnote.1是一款多功能木马后门程序,目的是在受感染设备中执行入侵者发出的各种命令,例如进行DDoS攻击、组建僵尸网络等各种各样的恶意行为。后门进程运行过程中会收集系统的相关信息,并将这些信息发送到C&C(命令控制)服务器后等待下一步指示。入侵者则可以通过远程命令对主机下发对指定目标发动SYN Flood、UDP Flood、CC攻击和NTP 放大攻击等任务,或者通过后门程序实现对感染设备的完全控制,在感染设备中进行上传/下载入侵者指定的文件,对感染设备的文件系统进行管理等行为(包括窃取并发送用户数据,创建、删除以及运行文件等,危险等级极高)。
初步推断这是国内黑客生成的Linux后门集群木马(Dr.Web则认为,来自中国的ChinaZ黑客组织是幕后黑手),用于控制被感染主机,获取被感染主机资料信息,组建僵尸网络发动DDoS攻击。
四、样本分析跟踪过程
通过线程检查发现,系统存在二个对外发起连接的进程

Linux.BackDoor.Xnote.1最新变种来袭


外联地址均为HK的IP地址,黑客朋友都懂得,毕竟方便且价格便宜。

Linux.BackDoor.Xnote.1最新变种来袭


根据对二个对外发起连接的恶意进程进行追溯,发现其中一个进程的父进程PID信息,通过检查发现伪装的电源进程kthreadd且三个相为守护进程。同时删除三个进程之后一段时间后依然会重新运行。

Linux.BackDoor.Xnote.1最新变种来袭


对伪装threadd进程进行进一步分析,发现其中的存在可疑的模块。

Linux.BackDoor.Xnote.1最新变种来袭


Linux.BackDoor.Xnote.1最新变种来袭


通过对源码与内存中的信息进行分析,发现病毒程序启动时会释放相关文件到/var/tmp/目录下,运行完之后自动删除。
备份的病毒母体dump_tcp文件到/usr/sbin/目录之下,释放另外一个通信进程cupsd到/user/local目录下。
同时生成一个名为nfsiod的反弹shell,反编译之后如下:

Linux.BackDoor.Xnote.1最新变种来袭


Linux.BackDoor.Xnote.1最新变种来袭


连接的域名为: zzz.457467.com 威胁情报暂未收录此域名。

Linux.BackDoor.Xnote.1最新变种来袭

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/web/100.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8726397访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X