from:https://www.virusbtn.com/virusbulletin/archive/2014/07/vb201407-Mayhem
網站甚至整個服務器被感染越來越普遍。通常這種感染被用來竊聽通訊,黑帽SEO,盜鏈下載,諸如此類。并且在絕大多數的案例中這種惡意軟件由相對比較簡單的PHP腳本組成。但是在最近的兩年里,許多更加復雜的惡意軟件家族被發現。Mayhem是一個針對網站服務器的多用途模塊化bot。我們的團隊研究了這個bot以獲取對其不只是惡意軟件客戶端的理解,也了解了一些它的C&C服務器指令,這允許我們去搜集一些統計數據。 這篇文章應當被認為是Malware Must Die團隊之前發表文章1的補充。我們在2014年4月遭遇了Mayhem bot,并且這篇文章是我們獨立研究的結果。2是我們找到的唯一另外關于Mayhem的出版物。在我們的研究中,我們也發現Mayhem是一個更大的‘Fort Disco’暴力破解運動(在3被公開)的延續
首先,這一部分的惡意軟件表現為一段PHP腳本。我們分析了這個PHP病毒釋放器版本的SHA256 hash:b3cc1aa3259cd934f56937e6371f270c23edf96d2c0801 728b0379dd07a0a035. 用VirusTotal分析這段腳本的結果呈現在 表格一 中
| Date | VirusTotal results |
|---|---|
| 2014-06-17 | 3/54 |
| 2014-06-05 | 3/51 |
| 2014-06-03 | 3/52 |
| 2014-04-06 | 1/51 |
| 2014-03-18 | 1/49 |
表格一 使用VirusTotal檢查 PHP病毒釋放器的結果
在執行過后,這段腳本kill了所有‘/usr/bin/host’進程,識別系統架構(x64 還是 x86)以及系統類型(Linux 還是 FreeBSD),然后釋放一個惡意的動態鏈接庫命名為‘libworker.so’。這段代碼也定義了一個變量‘AU’,其中保存了這段腳本被執行的完整URL。這段PHP腳本的第一部分顯示在 圖表一 中
圖表一 PHP病毒釋放器的第一部分
在那之后,這個PHP病毒釋放器創建了一個Shell腳本叫做‘1.sh’,這個腳本的內容如圖表二所述。除此之外,這段腳本也創建了環境變量‘AU’,這和在PHP腳本中定義的那個一樣。
圖表二 ‘1.sh’腳本的內容
然后這個PHP病毒釋放器通過運行命令‘at now -f 1.sh’ 執行了這段SHELL腳本。這個命令添加了一個計劃任務。在執行之后,這個病毒釋放器等待最多5秒鐘的時間,然后就刪除計劃任務。如果執行‘at’命令失敗,這個病毒釋放器就會直接運行‘1.sh’腳本。這部分PHP病毒釋放器的代碼如 圖表三 所示
圖表三 PHP病毒釋放器的最后一部分
LD_PRELOAD技術允許第一個載入動態鏈接庫并且允許它輕易hook到不同的函數中。如果在這樣的動態鏈接庫中一個標準的庫函數被覆寫,那么這個庫將會攔截所有的對那個函數的調用。這個惡意的樣本包含了它自己實現的‘exit’函數,所以被‘/usr/bin/host’調用時這一個惡意函數替代了原始的函數。 在被hooked的‘exit’函數執行過程中,調用了一個額外的初始化函數,這個函數的工作流程如 圖表四 所示。在這個初始化過程中,如下步驟被執行:
? 一個只包含了‘exit’函數的ELF文件被釋放
? 這個進程forks然后子進程運行ELF文件然后結束它的執行
? 父進程執行更多的初始化工作:它試著去連接Google DNS 服務(IP 地址是 8.8.8.8),解密并且解析配置文件然后獲取系統的各種參數
圖表四 初始化函數的工作流程
一旦初始化結束,這個動態鏈接庫文件就被從硬盤上刪除。這個惡意軟件之后試著去打開一個文件即一個隱藏文件系統并映射到內存,然后一個隱藏的文件系統就被初始化了。然后這個進程forks,父進程退出,然后子進程繼續執行。 關于被hooked的‘exit’函數高度抽象的工作流程如 圖表五 所示。成功被執行的運行路線在流程圖上用紅色標識。正如你所見,執行的路線既不是單純父進程或者單純子進程。我們假設這是一種針對那些在fork后設置了只跟蹤子進程執行或者只跟蹤父進程執行的調試者的反調試技巧。
圖表五 被hooked的‘exit’函數高度抽象的工作流程
在這些步驟之后,子進程(唯一仍然存活的)運行惡意程序的主循環。這個惡意程序將等待配置中設置的時間然后運行做實際工作的函數
這個函數首先建立起一個socket以用來和C&C服務器通訊,然后檢查被感染的宿主主機的信息是否自這個有效的session開始,也就是指,自惡意軟件被執行開始,已經被發送到C&C。如果flag標識信息已經被成功送達C&C服務器,這個惡意軟件發送一個ping數據包,然后接收并且執行C&C命令。
如果這個flag標識信息還沒有被成功送達,這個惡意軟件會準備一個包含了‘uname -a’命令輸出,被感染系統的架構信息,的HTTP數據包,以及關于系統用戶執行進程的權限信息。在這個數據包被發送后,這個惡意軟件讀取C&C的響應然后如果有錯誤產生就會退出這個函數。如果一切都正常,這個惡意軟件更新flag并且試著讀取并執行其他C&C響應中的命令。 一個高度抽象的的主循環函數工作流程如 圖表六 所示
圖表六 動態鏈接庫主循環函數高度抽象的工作流程
在工作中,惡意軟件包含了4個列表和2個隊列。一個隊列用于輸入的字符串(從C&C服務器接收的字符串),然后另一個隊列用于輸出字符串(將被發送到C&C服務器的字符串)。第一個列表用來存儲插件工作函數的地址,第二個列表存儲在寫到socket之前處理數據的函數地址(用來傳輸數據到C&C的那個),第三個列表用來存儲從socket讀出數據前數據處理函數的地址(從C&C接收到的數據),并且第四個用來存儲將會從字符串隊列中處理數據的函數地址。圖表七展示了這些隊列和列表是怎樣在惡意軟件的工作流程中被使用的 
圖表七 數據從C&C服務器讀取時的工作流程
圖表八 展示了惡意軟件處理任務時的工作流程
圖表八 插件處理字符串的工作流程
在C&C服務器與惡意軟件通訊時有七種不同的命令被用到。這些命令可以被分成兩組:輸入指令(C&C 到 bot)和輸出指令(bot 到 C&C)。所有的這些命令都是在HTTP POST請求和響應中發送的,也就是說,輸入指令在HTTP POST請求中傳送,而輸出指令在對POST請求的HTTP響應中傳送。
‘R’指令(輸出)
通過發送這個命令這個惡意軟件通知C&C它已經成功加載并且準備好工作了。如果WEB服務器在root權限下運行,發送給C&C 的‘R’指令格式如下:
R,20130826,<系統架構 - 64 或者 32>,<‘/usr/bin/host’ ELF header EI_OSABI 的值 >,
ROOT,<‘uname -a’命令的輸出>
如果WEB服務器在受限的權限下運行,那么命令是相同的,但是‘ROOT’取而代之的是getenv(‘AU’)的輸出 – PHP腳本開始執行惡意軟件的URL。如果一切都正常,C&C服務器返回‘R,200’
‘G’指令(輸入)
這個指令是C&C服務器發送給惡意軟件的。這個指令有著如下的格式:
G,<任務ID>
如果這個當前的任務ID與接收的ID不相等,這個惡意軟件將會完成當前運行的任務并且開啟一定數目的新工作線程。工作線程的數目是被‘L’命令設置的 ‘F’指令(輸出) 這個指令用來從服務器上請求文件。如果這個惡意軟件想要請求一個新的文件,它會發送如下的命令:
F,<文件名>,0
如果惡意軟件想要檢查之前獲取的文件是否還有更新的版本,它會發送:
F,<文件名>,<文件的CRC32校驗>
如果文件沒有在C&C服務器上找到,服務器會響應: F,404,<文件名>
如果文件自從被接受之后就沒有被改變,C&C將會響應:
F,304,-
如果新建的或者更新的文件被找到,服務器將會響應:
F,200,<文件名>,<BASE64編碼的文件數據>
在接收到攜帶數據的命令后,這個惡意程序解碼base64然后寫到硬盤上的隱藏文件系統中。然后它試著去確定接收到的文件是否是個插件。如果這個文件是一個插件,這個惡意程序檢查其存儲在沒有使用的ELF頭部field中的CRC32校驗,然后把這個插件載入內存
‘L’命令(輸入) ‘L’命令被C&C服務器用來配置惡意軟件并且讓它加載一個插件。如果C&C想要配置這個惡意軟件的core模塊,它將會發送:
L,core,<工作線程數目>,<sleep timeout>,<socket timeout>
在接受到這個指令后,這個惡意軟件將會完成所有的工作線程,然后更新工作線程數目,sleep timeout和socket timeout 如果C&C想要惡意軟件裝載一個插件,它將會發送:
L,<插件文件名>,<用逗號分隔的插件參數>
如果這個惡意軟件接受到這個命令并且其他的插件已經運行,正在運行的插件將會被終止并且將會從隱藏文件系統中把新的插件找出來。如果查找失敗,一個帶著插件的文件將被從C&C通過F指令請求過來。然后這個插件將被加載、初始化、然后運行
‘Q’指令(輸入&輸出) 這個指令被用來從C&C到惡意軟件-反之亦然 傳輸工作數據。如果這個C&C想要添加一個字符串到惡意軟件的處理隊列中,它將會發送: Q,string 所有的這些字符串被加入了惡意軟件的輸入隊列并且將會被正在運行的插件處理。如果這個惡意軟件想要上傳它工作的結果,它將會發送: Q,<插件名稱>, <結果字符串>
然后把這些字符串從它的輸出隊列中刪除
‘P’指令(輸出) 這個指令被這個惡意軟件用來發送它的當前狀態給C&C服務器。這個指令的格式為:
P,<任務運行的flag>,
‘S’指令(輸入)
如果這個惡意軟件接收到這個指令它將會完成所有當前工作的線程,清空輸入和輸出隊列并且釋放其他的系統資源。在那之后,它將會準備好處理一個新的任務。 總結 總而言之,這些指令如下所示: 輸出指令: R –回送報告 F – 請求文件 Q – 發送數據 P – 報告狀態 輸入指令: G – 運行新的任務 L – 加載插件 Q – 發送數據 S – 終止當前的任務
動態鏈接庫在數據段存儲了加密形式的配置信息。解密的key也存儲在數據段中。首先,只有頭8個字節被解密,然后這個惡意軟件檢查后4個字節是否與0xDEADBEEF相等。如果是這樣,那么頭4個字節代表了加密數據的長度。在這之后,剩下的密文就可以解密了。圖表九 展示了解密算法的偽代碼
圖表九 惡意軟件使用的解密算法
我們分析了這個算法的代碼并且發現這是一個XTEA4加密算法的實現,32輪的5,操作模式是ECB6,7 圖表十展示了解密的配置內容樣本
圖表十 解密的配置內容樣本
我們分析的所有樣本都有同樣的配置格式,配置的第一部分包含了特殊的flags和指向剩下的配置數組數據的偏移量。解密后的配置格式展現在表格二中
| Offset | Size in bytes | Description |
|---|---|---|
| 4 | This field contains the number of eight-byte blocks in the configuration – in other words, the length of the configuration in eight-byte blocks | |
| 4 | 4 | Special marker 0xDEADBEEF |
| 8 | 4 | Offset to the C&C URL |
| 12 | 4 | Sleep time between executions of the main loop function of the malware |
| 16 | 4 | Size of file mapping for the hidden file system |
| 20 | 4 | Offset to the name of the file that contains the hidden file system |
表格二 惡意軟件配置的描述
正如在表格二中看到的那樣,一個C&C地址直接定義在了惡意軟件配置中并且沒有使用DGA【譯者注3】
正如之前談到的,這個惡意程序使用了一個隱藏的文件系統來存儲它的文件,這個文件系統由一個在初始化中創建的文件組成。這個隱藏文件系統文件的名稱在配置定義,但是它的名稱通常是‘.sd0’。為了和這個文件配合使用了一個開源的庫‘FAT 16/32 File System Library’。但是它沒有以原始的版本使用,一些函數被修改來支持加密。每個block被32輪的XTEA算法ECB模式加密并且每個加密key隨block不同而不同 這個隱藏的文件系統被用來存儲插件和包含著待處理字符串的文件:URL的列表,用戶名,密碼,諸如此類。一個文件系統的實例的內容如圖表十一所示:
圖表十一 一個文件系統實例的內容
我們開發了一個基于開源的{能解密和從這樣的文件系統中提取文件的庫}的簡單的工具
正如之前所提到的,這個惡意軟件具有使用插件的功能。在我們的研究中我們發現了8種適用于該bot的不同插件。插件和它們的配置文件都存儲在隱藏的文件系統中。這里描述的所有插件都是該惡意軟件在外面部署使用而被發現的。 插件接口 每一個插件導出了一個包含了兩個特殊標記的結構:指向有用的插件函數的指針和一個包含插件名稱的字符串。每個插件包含至少如下兩個這樣的指針:一個指針指向插件初始化函數和一個指針指向執行“去初始化”的函數。兩個在這結構中的標記都是常量:0xDEADBEEF和一個常量20130826我們猜測是插件的版本。這樣一種結構的例子如圖表12所示:
圖表十二 一個描述插件結構的示例
基于所有的插件都存儲在隱藏文件系統中的事實,它們都沒有被VirusTotal在檢測時用任何反病毒向量發現 rfiscan.so
SHA256 hash sum: 9efed12a67e5835c73df5882321c4cd2dd2 3e4a571e5f99ccd7ec13176ab12cb
這個插件用來發現具有遠程文件包含漏洞(RFI)的網站站點。在初始化過程中,這個插件下載了一個列表的pattern模式和一個列表的網站站點來檢查。然后它發送特殊的HTTP請求給站點并試圖包含‘http://www.google.com/humans.txt’并且分析對應的HTTP響應。如果HTTP響應包含了‘we can shake’子串,那么這個插件確認這個網站具有一個遠程文件包含漏洞。一部分帶有pattern模式的列表在圖表十三中展示
圖表十三 一些被‘rfiscan.so’使用來發現RFI網站的pattern模式
這些結果通過使用‘Q’命令傳送給C&C服務器。這些指令的意義展示在表格三中
| Command | Description |
|---|---|
|
Q,rfiscan, |
An RFI vulnerability has successfully been found |
|
Q,rfiscan, |
RFI vulnerabilities haven’t been found |
表格三 對‘rfiscan’插件‘Q’指令的描述
wpenum.so SHA256 hash sum: 9707e7682dd4f2c7850fdff0b0b33a3f499e93513f025174451b503eaeadea88
這個插件被用來窮舉WordPress站點的用戶名。這個插件的工作函數接收一個URL,轉換一下,然后用如下的查詢模板發送HTTP請求 <去掉最后末尾部分的初始查詢>/?author=<用戶 id>
用戶ID范圍設定0到5。如果對應的HTTP響應包含了子串‘Location:’并且目的URL包含了子串‘/author/’那么用戶名就被從目標URL中提取了。使用‘Q’命令把第一個被發現的用戶傳送給C&C服務器。這些指令的意義如表格四所示
| Command | Description |
|---|---|
|
Q,wpenum, |
Username has successfully been found |
|
Q,wpenum, |
No username has been found |
|
Q,wpenum, |
Connection failed |
表格四 對‘wpenum’插件‘Q’指令的描述
cmsurls.so
SHA256 hash sum: 84725fb3f68bde780a6349d0419bec39b03c85591e4337c6a02dcaa87b2e4ea3
這個插件的工作函數接收hostname,構造一個HTTP GET 請求組裝‘/wp-login.PHP’查詢,然后在對應的響應中查找子串‘name="log"’。所以這個插件在基于WordPress CMS的站點上查找用戶登錄頁面。而其結果通過‘Q’命令發往C&C。這些指令的含義在表格五中展示
| Command | Description |
|---|---|
|
Q,cmsurls, |
URL for login page has successfully been found |
|
Q,cmsurls, |
URL for login page has not been found |
|
Q,cmsurls, |
Connection failed |
表格五 對‘cmsurls.so’插件‘Q’命令的描述
bruteforce.so
SHA256 hash sum: 6f96d63ab5288a38e8893043feee668eb6cee7fd7af8ecfed16314fdba4d32a6
這個插件用來暴力破解 基于WordPress和Joomla CMS 建立的站點的密碼。 這個插件不支持HTTPS。在我們研究的過程中,我們發現了被這個插件使用的一個包含著密碼的字典。這個字典包含了17,911個密碼。這些密碼的長度在1到32個符號之間。
bruteforceng.so
SHA256 hash sum: 992c36b2fcc59117cf7285fa39a89386c62a56fe4f0a192a05a379e7a6dcdea6
這個插件也是用來暴力破解站點密碼的,但是不像bruteforce.so,這個插件支持HTTPS,以及正則表達式,并且能夠被配置用來暴力破解任何登陸頁面。這樣的一個配置的例子如 圖表十四 所示
圖表十四 一個‘bruteforceng.so’插件配置的示例
我們分析了這個插件的其他配置并且發現了它也被用來暴力破解DirectAdmin控制面板的敏感信息
ftpbrute.so SHA256 hash sum: 38ee32e644cb8421a89cbcba9c844a5b482b4524d51f5c10dcb582c3c4ed8101
這個插件被用來暴力破解FTP賬戶
crawlerng.so
SHA256 hash sum: d9d3d93c190e52cc0860f389f9554a86c8c67d56d2f4283356ca7cf5cda178a0
這個插件被用來爬行WEB頁面并且取出有用的信息。從C&C服務器獲得一個用來爬的網站列表,以及類似爬行深度的其他參數。這個插件也支持HTTPS協議并且使用了SLRE 10庫來處理正則表達式。這個插件是非常靈活的,一個對應這個插件的配置文件如圖表十五所示。正如你所見,在這個例子中用這個插件來尋找和采集藥品相關的web頁面。
圖表十五 一個‘crawlerng.so’插件的配置文件
crawlerip.so
SHA256 hash sum: 1fc6a6a98bf854421054254bd504f0b596f01fcb9118a3e525c16049a26e3e11
這個插件與‘crawlerng.so’插件相同,唯一不同的地方是這個使用一個IP列表而非URL列表
在我們的研究中我們發現3個C&C服務器被用來管理僵尸網絡。我們想辦法進入其中的兩臺并且取得一些統計數據。對C&C管理面板的一個總體概括如圖表十六所示。允許用戶給BOT添加任務的界面在圖表十七中展示
圖表十六 (在C&C管理面板顯示的bot列表)
圖表十七 在C&C中其他任務界面
這兩個C&C服務器共同控制了大約1,400個bot。第一個botnet包含了大約1,100個bot,第二個大約300個bot。在分析的時候,botnet的bot都被用于暴力破解WordPress密碼。一個這種暴力破解任務的圖片如圖表十八所示,并且這些暴力破解任務的結果如圖表十九所示。
圖表十八 在更大的botnet控制面板中的暴力破解任務
圖表十九 一些botnet執行暴力破解任務的結果
botnet中被感染的的服務器服務器地理分布如圖表二十所示。正如你所見,最高感染比例的國家為美國,俄羅斯,德國和加拿大。
圖表二十 更大的botnet中被感染的的服務器服務器地理分布。
藍色越深代表感染的服務器數量越多 第三個C&C服務器也被Malware Must Die 1團隊定位了,并且在我們分析的時候它已經被關閉了 我們分析了還在運行的兩臺C&C服務器。除了主頁面,源代碼還包含了額外的兩個PHP腳本:config.php 和 update.php 第一個腳本包含了配置數據:數據庫機密數據,管理面板的密碼MD5,任務的最大判定時間,bot喚醒時間,諸如此類。這段腳本的一部分如圖表二十一所示
圖表二十一 部分C&C配置的數據
update.php腳本被用來喚醒bot。這段腳本訪問一個閑置的bot并且運行在‘Malware representation’章節提到過的PHP腳本。 我們也發現C&C服務器支持一定數量的沒有被在外面發現的插件。舉例來說,一個插件利用最近發布的‘Heartbleed’漏洞并且從有漏洞的服務器上收集信息。一段描述了所有可用插件的代碼如圖表二十二所示
圖表二十二 這段代碼展示了一定數量的我們沒有在外面發現的插件
C&C使用了MySQL 和 memcached(如果可用)來做數據存儲,但是插件存儲在硬盤上 我們也發現了C&C腳本的代碼也包含了一定量的安全問題,但是描述這些漏洞超出了這篇文章的范圍
在我們的分析中,我們發現了一些在Mayhem和其他*nix惡意軟件之間的共同特點。這個惡意軟件與‘Trololo_mod’和‘Effusion’ 11 相似 – 兩款分別針對Apache和Nginx服務器的入侵工具。所有這三個惡意軟件家族具有如下的共同點: ? 配置使用同樣格式
? 使用ECB模式下的XTEA算法加密
? 0xDEADBEEF標記被廣泛用于配置文件以及其他代碼部分
? 動態鏈接庫的ELF headers使用同樣方式腐化
盡管缺少證據,我們懷疑所有這三個惡意軟件家族都是被同一幫派開發的 結論 在完成這個研究之后,我們可以確鑿地說為*nix web服務器制造的botnets正在變得越來越流行,就像惡意軟件的現代化趨勢。為什么會這樣?我們認為原因如下:
? Web 服務器botnets提供了一個獨特的通過流量重定向、盜鏈下載、黑帽SEO,諸如此類 的獲利方式模型
? Web服務器具有良好的在線時間,網絡通道并且比常規的私人電腦性能更好
? 在*nix世界里,自動更新技術并沒有被廣泛使用,尤其是對比桌面電腦和智能手機時。絕大多數的網站管理員們和系統管理員們需要手動升級他們的軟件并且測試保證他們的基礎業務正常工作。對于普通的站點,專業地維護非常昂貴并且網站管理員沒有機會這么做。這意味著對于黑客來說尋找這樣的有漏洞的Web服務器并且將之加入botnet中比較簡單。
? 在*nix世界中,反病毒技術并沒有廣泛應用。很多運營商并不提供主動防御機制或者進程內存檢測模塊。何況,一個普通的網站管理員通常不想花費時間閱讀這種軟件的說明書并且解決可能因此出現的性能問題。
Mayhem是一個非常有趣并且精致的惡意軟件,其擁有靈活并且復雜的架構。我們希望我們的研究可以幫助安全社區對抗如此的威脅。
我們希望感謝Fraser Howard 和 Charles McCathie Nevile,他們的評論和建議幫助了我們改進這篇文章。
http://blog.malwaremustdie.org/2014/05/elf-shared-so-dynamic-library-malware.html.
http://sysadminblog.net/2013/11/fake-wordpress-plug-ins/.
FortDiscoBruteforceCampaign.
http://www.arbornetworks.com/asert/2013/08/fort-disco-bruteforce-campaign/.
Wheeler,D.;Needham,R.CorrectiontoXTEA.
http://www.movable-type.co.uk/scripts/xxtea.pdf.
http://en.wikipedia.org/w/index.PHP?title=XTEA&oldid=558387953.
Wikipedia.Blockciphermodeofoperation. http://en.wikipedia.org/w/index.PHP?title=Block_cipher_mode_of_operation&oldid=582012907.
Schneier,B.AppliedCryptography.JohnWiley&Sons,1996.
http://ultra-embedded.com/fat_filelib.
https://github.com/freeoks/SD0_reader.
http://slre.sourceforge.net/.
Effusion–anewsophisticatedinjectorforNginxwebservers.
https://www.virusbtn.com/virusbulletin/archive/2014/01/vb201401-Effusion.
http://www.linuxjournal.com/article/7795.
0x13 譯者注:
【1】 bot定義:Each such compromised device, known as a "bot", is created when a computer is penetrated by software from a malware (malicious software) distribution(來自http://en.wikipedia.org/wiki/Botnet)
【2】 C&C定義:This server is known as the command-and-control (C&C) server(來自http://en.wikipedia.org/wiki/Botnet)
【3】 DGA定義:Domain generation algorithm(來自 http://en.wikipedia.org/wiki/Domain_generation_algorithm)