原文:http://blog.malwaremustdie.org/2015/07/mmd-0037-2015-bad-shellshock.html
昨天又是忙碌的一天,因為我獲知近期有破殼漏洞利用攻擊,所以我們團隊集合起來對所有近期的捕獲到的互聯網交叉流量中的ELF文件威脅 (ELF threats)進行檢測。我查看了一套shell腳本的命令部分,立刻就知道它基本上就是Linux/XOR.DDoS木馬。我又檢查了payload,并且深入查看了細節。最終確定這就是Linux/XOR.DDoS。
相關信息可以查看: http://blog.malwaremustdie.org/2015/06/mmd-0033-2015-linuxxorddos-infection_23.html
因為已經過我的睡覺時間很久了,我需要休息了。所以我讓我們生活在地球另一邊的專家同事們MMD ELF Team來看看這個樣本是否有什么新特性。
為了搞定這些新的發現,我幾乎一夜沒睡。這篇文章將會告訴你為什么。
這次shellshock攻擊是從13/07/2015開始的。讓我們直接來看看利用shellshock植入的一段bash命令的代碼:
這段代碼的主要功能是: 使用web server的UID來執行代碼,這段腳本刪除了sftp守護進程的pid文件(pid文件是某些程序啟動時記錄一些進程ID信息而創建的文件),檢查當前目錄是否有6000.rar這個文件存在,如果有就刪除。然后,在根目錄通過wget或者curl命令從多個IP地址(43.255.188.2/103.20.195.254/122.10.85.54)下載6000.rar文件。檢查是否下載成功,如果下載成功了就添加可執行權限并執行,最后打印一個“ExecOK”消息。如果下載不成功,它也會繼續探測系統的版本信息,HDD status,進程信息(如果是linux系統將會顯示UID,PID,PPID,Time和Command,但是在BSD系統中會顯示一些不同的有趣結果:D)并且會檢查以太網連接,顯示本地和遠程地址,接入互聯網的程序。然后打印一個“ExecOK”消息。最后,這個腳本會打印sftp,mount,gcc的PID內容。再打印一個“InstallOK”消息。
最后,它從上面列出的IP地址的其中一個下載g.rar文件(使用wget或crul命令)。添加可執行權限并執行。需要指出的是,在大多數Linux/XOR.DDoS shellshock案例中,最后這一步都沒有執行。被“#”注釋掉了。
至今,我們MalwareMustDie是第一個發現這類ELF威脅樣本的,并且我們給其命名為Linux/XOR.DDoS,我們的博客中有分析文章,發布于29/09/2014[link].該惡意軟件在2015年初造成了很大的影響,很多IT媒體,SANS ISC都有相關報道,參見[-1-][-2-][-3-][-4-]。
這次威脅變種使用的加解密技術和之前其他相似的中國ELF DDOS變種使用很多解碼技術(對安裝腳本進行編碼)和加密技術(基于XOR)有明顯的不同。所有我們的團隊在處理威脅的時候就像和惡意軟件作者在進行一場CTF比賽。這對下班或放學后的我們有好處,使我們的大腦不會閑著。我們在kernelmode[link]論壇上開辟并維護一個版塊來討論Linux/XOR.DDoS。最新事件也可以在我們的報告中找到->[link]。該惡意軟件總是試圖連接并且會在受害者機器上安裝rootkit。
我們可以在之前給出的IP地址列表中隨意挑選一個來下載Linux/XOR.DDoS的payload。就像我下面做的,有點點暴力。(并沒下載全部,只是演示)。
下面的是收集到的payload。感謝偉大的團隊合作。
可以發現有兩種樣本。一種是unstripped的,還有encoded+stripped的。我選擇了兩個來進行檢測,hash分別是73fd29f4be88d5844cee0e845dbd3dc5和758a6c01402526188f3689bd527edf83。
樣本73fd29f4be88d5844cee0e845dbd3dc5是典型的XOR.DDoS ELF x32變種,由以下的代碼工程編譯:
可以發現熟悉的代碼段,看看下面的解密方法:
看看完全解密后的結果:
成功解密之后你就可以直接看到Linux/XOR.DDoS用作CNC(command and control)服務器的域名。在本例中是: www1.gggatat456.com in 103.240.141.54 該域名在ENOM域名商注冊,使用的受隱私保護的聯系ID注冊。
Domain Name: GGGATAT456.COM
Registrar: ENOM, INC.
Registry Domain ID: 1915186707_DOMAIN_COM-VRSN
Sponsoring Registrar IANA ID: 48
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Updated Date: 31-mar-2015
Creation Date: 31-mar-2015
Expiration Date: 31-mar-2016
Last update of whois database: Wed, 15 Jul 2015 00:59:06 GMT
Tech Email: [email protected]
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
和之前的樣本不同,我們分析這次捕獲的樣本發現,它與CNC服務器建立了ssh連接并下載加密數據:
因為在此篇文章中我有很多需要解釋的內容,該惡意軟件已經在kernelmode論壇里討論分析了很多次了,在之前的MMD博客中,和一些其他研究網站中也討論了很多了,所以我不會在本文中涉及過多的細節。將關注重點主要放在惡意代碼的解密和為了達到分解和停止目的而采取的策略。
hash為758a6c01402526188f3689bd527edf83的g.rar文件有一些不同。它是ELF-stripped二進制文件(僅僅使逆向工程增加了2%的難度)。可以通過code-mapping方法來解決逆向分析問題。
其中包含deflate.c代碼(ver 1.2.1.2)[link]:
用zlib壓縮混淆一些文本值:
這些安裝時使用的字符串會帶領我們找到CNC服務器
剩下的一些功能都是已知的,并沒有什么新東西。結果看起來也使用了同樣的映射方法。我推薦使用很不錯的pipe code[link]來解壓這些文本值。
對剩下的二進制文件進行逆向,將會看到CNC主機的域名: GroUndHog.MapSnode.CoM in 211.110.1.32 下面的圖進一步證實了,該域名和我想的一樣,和之前提到的IP地址一樣是Linux/XOR.DDoS木馬的一部分。
該域名是同一個人在ENOM注冊的:
Domain Name: MAPSNODE.COM
Registrar: ENOM, INC.
Sponsoring Registrar IANA ID: 48
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Updated Date: 11-may-2015
Creation Date: 11-may-2015
Expiration Date: 11-may-2016
Last update of whois database: Wed, 15 Jul 2015 07:16:23 GMT
Tech Email: [email protected]
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
下面是更多關于shellshock和CNC使用的IP地址的細節:
{
"ip": "43.255.188.2",
"country": "HK",
"loc": "22.2500,114.1667",
"org": "AS134176 Heilongjiang Province hongyi xinxi technology limited"
"ip": "103.20.195.254",
"country": "HK",
"loc": "22.2500,114.1667",
"org": "AS3491 Beyond The Network America, Inc."
"ip": "122.10.85.54",
"country": "HK",
"loc": "22.2500,114.1667",
"org": "AS55933 Cloudie Limited"
"ip": "211.110.1.32",
"country": "KR",
"loc": "37.5700,126.9800",
"org": "AS9318 Hanaro Telecom Inc."
}
這些樣本都已經在VirusTotal網站進行了檢測,可以搜索下列hash:
MD5 (3503.rar) = 238ee6c5dd9a9ad3914edd062722ee50
MD5 (3504.rar) = 09489aa91b9b4b3c20eb71cd4ac96fe9
MD5 (3505.rar) = 5c5173b20c3fdde1a0f5a80722ea70a2
MD5 (3506.rar) = d9304156eb9a263e3d218adc20f71400
MD5 (3507.rar) = 3492562e7537a40976c7d27b4624b3b3
MD5 (3508.rar) = ba8cc765ea0564abf5be5f39df121b0b
MD5 (6000.rar) = 73fd29f4be88d5844cee0e845dbd3dc5
MD5 (6001.rar) = a5e15e3565219d28cdeec513036dcd53
MD5 (6002.rar) = fd908038fb6d7f42f08d54510342a3b7
MD5 (6003.rar) = ee5edcc4d824db63a8c8264a8631f067
MD5 (6004.rar) = 1aed11a0cbc2407af3ca7d25c855d9a5
MD5 (6005.rar) = 2edd464a8a6b49f1082ac3cc92747ba2
MD5 (g.rar) = 758a6c01402526188f3689bd527edf83
我們在之前的樣本分析中并沒有見過這些功能,所以我需要解釋一下。Linux/XOR.DDoS通過加密會話從CNC服務器下載其他的惡意文件。在CNC服務器上,有一系列的ELF惡意軟件下載者程序,分別適用于被感染主機的不同系統環境。下面的ELF二進制文件(x32或x64)的其中之一將會在被感染的機器上運行,該ELF可執行文件是實現killfile功能的模塊,可以下載對應配置文件來結束特定進程或者其他需要結束的惡意軟件。它可以從配置的文本文件(kill.txt或run.txt)中讀取出配置信息,這些信息使用“|”來邏輯分割kill/run功能,killfile功能模塊可以對此配置進行邏輯解析并執行。
MD5 (killfile32) = e98b05b01df42d0e0b01b97386a562d7 15282 Apr 3 2014 killfile32*
MD5 (killfile64) = 57fdf267a0efd208eede8aa4fb2e1d91 20322 Apr 3 2014 killfile64
接下來說明幾個重要的模塊函數。
killfile模塊用C編寫,下面是源文件名: 'crtstuff.c' 'btv1.2.c' 'http_download.c' 'libsock.c'
它將自己偽裝成一個bluetooth進程:
也會偽裝為Microsoft(試著讀下面的代碼,它是自解釋的):
在我分析的這前兩個樣本中,它們都會從下面的域名和IP地址下載進程列表并結束這些進程: kill.et2046.com sb.et2046.com 115.23.172.31
下圖是對結束列表的逆向分析:
這個IP地址位于韓國電信,看起來是被黑客控制的服務器:
{
"ip": "115.23.172.31",
"hostname": "kill.et2046.com",
"city": Seoul,
"country": "KR",
"loc": "37.5700,126.9800",
"org": "AS4766 Korea Telecom"
}
et2046.com應該也不是一個正常的域名,在GoDaddy注冊,信息如下:
Domain Name: ET2046.COM
Registrar: GODADDY.COM, LLC
Sponsoring Registrar IANA ID: 146
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: A.DNSPOD.COM
Name Server: B.DNSPOD.COM
Name Server: C.DNSPOD.COM
Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Updated Date: 21-dec-2014
Creation Date: 27-nov-2012
Expiration Date: 27-nov-2016
Last update of whois database: Thu, 16 Jul 2015 22:17:47 GMT <<<
Registry Registrant ID:
Registrant Name: smaina smaina
Registrant Organization:
Registrant Street: Beijing
Registrant City: Beijing
Registrant State/Province: Beijing
Registrant Postal Code: 100080
Registrant Country: China
Registrant Phone: +86.18622222222
Registrant Email: "[email protected]"
這域名和email地址都是我的朋友Dr.DiMino在DeepEndResearch[link]找到的。 以上域名的DNS解析如下:
重新回到Linux/KillFile ELF惡意軟件的行為分析。它隨后從之前的URL下載run.txt文件,下載執行該文件里面列出的其他惡意文件。在本樣本中,run.txt里面的內容是一款臭名昭著ELF DDoS惡意軟件 "IptabLes|x" 。難道,Xor.DDoS和IptabLes|x合作了。我想只有ChinaZ(譯者:這個單詞不知道如何準確翻譯,難道是代表中國人)才會與IptabLes|x勾結。是否IptabLes|x在中國的惡意軟件黑市上已經是開源的了?為什么近期那些危險分子開始變化他們的工具?這些答案將會在以后才能得到揭曉。
該二進制文件是明文的,你可以清楚看見下載源地址,下載的文件和虛假的用戶集(注意字符串:“TencentTraveler”),這些信息可以迅速用來幫助抵御威脅:
這前兩個Linux/KillFile ELF惡意軟件是在2014年編譯的老版本,但是看起來已經參與了幾次感染行動了。但是VT評分還是0.可以參考->[-1-]和[-2-]。這次感染中,攻擊者還準備了另外一個 Linux/KillFile。我們將在下一節深入解析中來說明。
我們在kernelmode論壇添加了新的ELF Linux/killfile討論帖: [http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3944&p=26309#p26309]
也許你讀過很多次與本文之前討論相似的報告。也許你已經對這類惡意軟件,CNC服務器,IP地址,DDoS等重復的故事感到厭煩。但是這次,我們帶來的深入解析將是全新的。先說明,所有的內容已經由HTTP協議帶到你面前,通過瀏覽器展示給你,其中沒有黑客攻擊細節,沒有攻擊的方法描述,所以如果你期待的比這更多,我只能說聲抱歉。所有這些都是由我們ELF Team的團隊合作努力完成的。
我們已經被Linux/XOR.DDoS攻擊了多次,都還不知道他們到底是誰。大家都充滿了好奇,所以我們隨機的選擇可以接觸到的IP地址,嘗試看看通過合法手段能不能有什么收獲。從上面給出的IP的其中一個,我們拿到了被加密了的特殊文件:
部分文件被制作者加密了,但是是可以破解的:-)。我們不會在這里披露密碼。因為它里面包含了rootkits,漏洞掃描,CNC程序,ELF病毒和木馬(下載者和回連)。一系列攻擊者用來攻擊我們的工具。這些工具依然在使用:
這是一個實實在在的ELF RDP掃描工具集,掃描引擎(rdp ELF可執行文件)用來掃描指定范圍的IP段,探測開啟了RDP的主機,發現了之后使用字典進行暴力攻擊。以得到用戶名和密碼。可以設置掃描的線程數和發現匹配用戶后終止掃描的條件。可以明顯的看出來,工具代碼的編寫者不是講英語地區的人。這種情況我們在windows平臺上見太多了。我們認為這個ELF版本的工具只是被限制給少數人使用。下圖是該工具的界面截圖:
rdp文件是整個rdp工具集的核心,為了能夠實現自動化攻擊,作者使用了腳本。我們發現了shell腳本“a”和“start”來實現自動化。下圖給出具體腳本代碼片段,請注意,如果沒有rdp程序,這些腳本就什么用都沒有。
Linux/XOR.DDoS使用者在工具集里的文本文件中留下一些數據,你可以看到這些數據包含用來暴力攻擊的用戶名和單詞庫。還有一些掃描結果保存在vuln.txt文件中:
我想上圖非常清楚的說明了rdp能干些什么和它是怎么被Linux/XOR.DDoS攻擊者所使用的,為了他們的黑客行動,用rdp來暴力破解windows網絡。所以我就不做視頻了。這個rdp ELF是個新發現,我們將它命名為Linux/rdp,作為一款ELF黑客工具。同時我們在kernelmode論壇上開一個版塊來討論它。
這就是rdp.rar的全部?不,這里還有個名叫psc的家伙,它也是一個ELF可執行文件,細節如下:
16840 Nov 24 psc fcd078dc4cec1c91ac0a9a2e2bc5df25
psc: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV),
dynamically linked (uses shared libs), for GNU/Linux 2.2.5, not stripped
如果你將psc放到Virus Total檢測,將會得到(37/56)的Linux ELF病毒感染的檢測結果。被判定為一種已知的惡意軟件Linux/RST變種。該軟件可以感染其它的ELF文件,然后留下一個后門[link]。是不是很壞。
但是psc其實是一款名為pscan的黑客工具。是用來進行端口掃描的。黑帽子使用它來掃描服務器的SSH端口,我也知道有白帽子拿它來進行滲透測試。MMD博客曾經討論過黑客工具,參見MMD-0023-2014[link]。
我們測試運行了它,發現和pscan是一樣的。應該是Linux/XOR.DDoS的攻擊者使用psc縮寫來命名。
下圖顯示了psc里面有很多的字符串包含“pscan”字符串:
然而,為什么VT報告它被病毒感染了呢?謝謝Miroslav Legen的建議,我檢查了程序入口點。程序原始入口點被修改為0x08049364,惡意入口點取代了原始入口點(0x080487a8),這么做的目的就是運行提前運行惡意指令,然后再跳轉到原始入口點。下圖是我在檢查入口點替換時的逆向筆記:
進一步還發現,rdp ELF二進制文件也進行了入口點替換:
事實上,我們發現IP位于中國主機上的惡意軟件集和黑客工具都被另一種惡意軟件所感染。所以本文介紹的案例只是其中一個,畢竟,它本來就是來自一個不可信的環境。所以我們強烈建議不要運行任何從不可信環境中的到的任何東西。我不敢肯定是否Linux/XOR.DDoS使用者知道這情況或者是故意將被感染的ELF黑客工具放進他們的壓縮包里(呵呵,我想他們應該是不知道,因為他們給壓縮包設置了密碼),但是我真心希望他們自己被這病毒感染:D
在job.rar壓縮包中,攻擊者將攻擊我們網絡所需的各種工具都打包進了這一個壓縮包里面。它里面包含下載模塊killfile和用于結束進程的kill.txt,用于下載啟動文件run.txt。我們已經在前面的章節中介紹過這個模塊化的killfile ELF模塊。
還有一個rootkit,我將會在最后一節中用一個視頻來對代碼進行說明。但是現在我想指出的是:在job.rar壓縮包中有一個.lptabLes|x客戶端(ELF)和它的服務端,僵尸網絡CNC服務器。job.rar包確實需要引起注意:
該.lptabLes|x ELF客戶端二進制文件(ELF僵尸網絡惡意軟件)我們已經在之前的文檔中分析過-->[-1-]和[-2-]。這些二進制文件沒有任何新東西,只是用來連接到CNC僵尸網絡(Windows PE)軟件運行的IP地址。我們直接將注意力集中到僵尸網絡CNC軟件上來。
這個二進制文件是用.net編寫的。我們已經將其上傳到Virus Total上[link]。我制作了一個視頻,以更加直觀的方式介紹CNC僵尸網絡工具是怎么樣工作的:
為了了解僵尸網絡CNC工具的細節,可以通過閱讀我們制作的逆向源代碼來學習,我們對代碼進行了處理(為了讓代碼不能被重用,但是很容易閱讀)。通過下面鏈接可以獲得: https://pastebin.com/xDCipBY1
下面是 IptabLes|x 客戶端和CNC 僵尸網絡工具的MD5列表:
MD5 (777.hb) = "e2a9b9fc7d5e44ea91a2242027c2f725"
MD5 (888.hb) = "ff1a6cc1e22c64270c9b24d466b88540"
MD5 (901.hb) = "c0233fc30df55334f36123ca0c4d4adf"
MD5 (903.hb) = "f240b3494771008a1271538798e6c799"
MD5 (905.hb) = "603f16c558fed2ea2a6d0cce82c3ba3a"
MD5 (Control.exe) = "315d102f1f6b3c6298f6df31daf03dcd"
在job.rar[link]中,有一個Linux/KillFile惡意軟件,偽裝成為一個xxz.rar的壓縮文件。Linux/KillFile的工作邏輯和之前章節介紹的一模一樣[link],區別在于,之前的兩個樣本都是執行其他與感染無關的功能,但是這個是為了感染而生的。它所扮演的角色就是下載和安裝前面介紹的Linux/IptabLes|x僵尸網絡客戶端。
這個版本的Linux/KillFile,當執行了下載的文件之后,它使用虛假的Microsoft版本信息來進行偽裝。
另外一個大的不同是,與host連接時的數據和從遠程主機獲取的數據:
我們據此獲得新的ip:61.33.28.194和115.23.172.47,同樣的都是位于韓國:
{
"ip": "61.33.28.194",
"hostname": "No Hostname",
"city": null,
"country": "KR",
"loc": "37.5700,126.9800",
"org": "AS3786 LG DACOM Corporation"
}
我非常肯定et2046.com域名是被控制的,如果是攻擊者控制的,下面的按時間序排列的IP數據連接到et2046.com,一定就會連接到攻擊者。
115.23.172.31 (current)
115.23.172.6 (May 2014)
115.23.172.47 (current)
我很奇怪的是為什么使用了這么多的韓國IP地址,韓國的網絡執法部門需要對此引起重視。
本節中,我制作了一個視頻來講解xwsniff rootkit源代碼,展示了所有的源碼,不方便用語言表示的。這就是一份網絡犯罪的證據。該rootkit在CNC集里面的多個地方被找到。包括在針對目標的壓縮包job.rar里。不用懷疑的是,其中一個功能就是獲得被感染服務器的root權限。這對讀者來說也是學習了解rootkit最安全的方法,為了在以后能更好的防護我們自己。一樣的,我們也對源代碼進行了處理來進行保護,防止被壞人利用。
這份xwsniff rootkit安裝包里面,有FTP守護進程(現在我們知道了為什么他們要停止ftp PIDl ),OpenSSH和PAM源代碼,加上stealth rootkit的一部分,通過編譯結合在一起,并擁有自己的內核代碼。被感染的NIX系統將會受到極大的破壞,沒有手工清除該rootkit的方法。所以我建議讀者重裝。這個rootkit是為linux系統設計的,但是經過少量修改就可以用于所有NIX系統。
為了實現功能,它擁有威力強大的函數,能讓受害者無法知道是不是被感染了,在shell里面的安插后門和通過http下載,只需要添加幾個函數。好了,說的太多了,我們直接看視頻吧。
下面的IP地址都是用來實施感染的:
"43.255.188.2" (shellshock landing)
"103.20.195.254" (shellshock landing)
"122.10.85.54" (shellshock landing)
"103.240.141.54" (Xor.DDoS CNC server)
"211.110.1.32" (Xor.DDoS CNC server)
"115.23.172.31" (.IptabLes|x download server)
"115.23.172.47" (.IptabLes|x download server)
"61.33.28.194" (.IptabLes|x download server)
"115.23.172.6" (Iptables|x previous IP record)
他們的地址:
下面是用于感染的主機域名:
kill.et2046.com
sb.et2046.com
www1.gggatat456.com
GroUndHog.MapSnode.CoM
對于這次事件,還有很多工作需要做。舉個例子,我們上傳所有樣本到VT,包括killfile,XOR.DDoS下載者ELF模塊。但是我們不分享rootkit,除了反病毒公司和執法部門。因為他是危險的工具。請閱讀我們的法律聲明-->link。請給我們時間來準備新的分享。在下面的評論區表達你們的希望與要求,別忘了附上你完整的email地址。
我們會在kernelmode論壇分享樣本,只為了研究目的。同樣上傳給VirusTotal。 Linux/KillFile已經上傳到kernelmode[link]和VT[link]。.IptabLes|x botnet CNC tool WInPE(.NET)在kernelmode做了限制性分享[link]。其他的都上傳到VT但是沒有分享到kernelmode,因為都感染了其他病毒。 Rootkie源代碼從20/07/2015開始分享,現在開始接受請求。
推特賬號: @MalwareMustDie
感謝原作者辛勤的工作! 結尾一段,與正文關系不大,略去沒翻譯。 本人水平有限,錯誤難免,還請指出!拜謝!