該款木馬分析文章在2015年由@PETER KáLNAI 最先發(fā)表于AVAST的公開(kāi)blog中��,木馬的架構(gòu)嚴(yán)謹(jǐn)����,設(shè)計(jì)精良,應(yīng)該是產(chǎn)業(yè)化的一部分���。接下來(lái)我們就來(lái)看一下這款木馬的具體的感染�����,命令執(zhí)行和持久化的思路��,希望能給我們搞防御的小伙伴擴(kuò)充一點(diǎn)防御思路�����。
安裝腳本&感染媒介
木馬的最初感染方式十分傳(dou)統(tǒng)(bi)�����,他是通過(guò)暴力登錄SSH服務(wù)獲取root權(quán)限的方式來(lái)成功搞下感染體的(這里就體現(xiàn)了一個(gè)高質(zhì)量的字典的重要程度了)���。成功拿下root權(quán)限之后,攻擊者就會(huì)向目標(biāo)機(jī)器通過(guò)shell的方式利用腳本傳遞執(zhí)行安裝一個(gè)木馬�。這個(gè)腳本文件主要包括一些程序如main, check, compiler, uncompress, setup, generate, upload, checkbuild和一些變量如 __host_32__, __host_64__, __kernel__, __remote__等。主程序的作用是根據(jù)感染目標(biāo)機(jī)器的系統(tǒng)開(kāi)發(fā)版本加密傳輸并且選擇C&C服務(wù)器。
在下面的請(qǐng)求中�,iid參數(shù)傳遞的是內(nèi)核版本名稱的MD5哈希。腳本首先用lsmod命令列本機(jī)所有的模塊信息�,然后,提取名稱和vermagic字段���。在我們測(cè)試的環(huán)境中�����,被測(cè)試的環(huán)境是“3.8.0-19-generic SMP mod_unload modversions 686 ”����,對(duì)應(yīng)的MD5是CE74BF62ACFE944B2167248DD0674977�����。
接下來(lái)�����,就有三個(gè)GET請(qǐng)求被發(fā)送到C&C服務(wù)器上����。
第一個(gè)是表明目標(biāo)機(jī)器運(yùn)行的操作系統(tǒng)的信息:
request:
GET /check?iid=CE74BF62ACFE944B2167248DD0674977&kernel=3.8.0reply:
1001|CE74BF62ACFE944B2167248DD0674977|header directory is exists!
然后,compiler程序會(huì)發(fā)送第二個(gè)GET請(qǐng)求:請(qǐng)求中包括的字段我們猜測(cè)應(yīng)該有C&C服務(wù)器��,版本信息等��,通過(guò)這個(gè)帶有本機(jī)特定版本信息的請(qǐng)求����,服務(wù)器可以據(jù)此生成一個(gè)可執(zhí)行程序:
小編推薦閱讀
