溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

發(fā)布時(shí)間:2021-11-11 15:39:40 來(lái)源:億速云 閱讀:138 作者:柒染 欄目:編程語(yǔ)言

今天就跟大家聊聊有關(guān)Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲。

近期,深信服安全團(tuán)隊(duì)在排查問(wèn)題時(shí),遇到一臺(tái)主機(jī)不斷訪問(wèn)惡意域名linuxsrv134.xp3.biz,嘗試與之通信,通過(guò)對(duì)問(wèn)題主機(jī)的排查和域名的威脅情報(bào)分析,關(guān)聯(lián)到了一個(gè)2019年新型Linux蠕蟲(chóng)——ibus,這里針對(duì)其C&C模塊進(jìn)行詳細(xì)分析。

進(jìn)行第一階段的初始化以及檢測(cè)。判斷/tmp/.Abe0ffdecac1a561be917bfded951a7a pid記錄文件是否存在,判斷是否存在已經(jīng)運(yùn)行的線程。

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

再重新fork一個(gè)進(jìn)程:

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

并將新的pid記錄到/tmp/.Abe0ffdecac1a561be917bfded951a7a文件:

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

進(jìn)行第二階段的初始化,判斷配置文件/usr/share/hplip/data/images/24x24/.rc是否存在,其中包含配置文件的hash以及休眠時(shí)間:

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

判斷預(yù)定的UUID是否為空,如果為空則生產(chǎn)新的UUID并寫(xiě)到/usr/share/hplip/data/images/24x24/Remove_user.png文件。

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

完成第二階段初始化,進(jìn)入循環(huán)執(zhí)行階段:

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

MAIN為主函數(shù),通過(guò)調(diào)用check_relay, 判斷是否還存在指令:

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

但是目前該域名已經(jīng)過(guò)期了,獲取不到任何的數(shù)據(jù)。

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

如果還有未執(zhí)行的指令,就會(huì)調(diào)用Knock_Knock函數(shù)上傳ID信息來(lái)獲取被base64編碼和異或加密的指令內(nèi)容, 其指令任務(wù)內(nèi)容主要分為4大類,分別為needregr、newtask、notasks以及newreconfig。

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

下圖為任務(wù)處理過(guò)程:

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

具體指令功能見(jiàn)下表:

功能分類功能編號(hào)具體功能
Needregr
           		上傳本地信息并更新配置文件
Newtask(任務(wù)執(zhí)行)1下載執(zhí)行
3下載并且?guī)?shù)執(zhí)行
6退出
9進(jìn)行自我更新
10卸載
11命令執(zhí)行
notasks
           		根據(jù)休眠時(shí)長(zhǎng)休眠
Newreconfig
           		重新配置配置文件hash以及休眠時(shí)長(zhǎng)

如果沒(méi)有指令或者網(wǎng)絡(luò)有問(wèn)題,為了繼續(xù)通信,就會(huì)嘗試以下4種方式:

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

1.嘗試重連:

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

2.從備用網(wǎng)絡(luò)linuxservers.000webhostapp.com以及l(fā)inuxsrv134.xp3.biz等獲取新的C&C地址進(jìn)行通信:

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

目前該blog  linuxservers.000webhostapp.com的指令如下,通過(guò)隱藏屬性隱藏。手動(dòng)可以訪問(wèn)該內(nèi)容,通過(guò)該腳本直接訪問(wèn)得到404:

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

3.通過(guò)解密函數(shù),其解密分為2個(gè)部分,首先進(jìn)行base64解碼,再通過(guò)異或(“#”為key)得到如下更新信息:

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

根據(jù)DGA算法獲取新的C2地址,但是該方法目前并沒(méi)有實(shí)現(xiàn)。

4.通過(guò)查找5.196.70.86的開(kāi)發(fā)端口,更新新的C2地址為5.2.73.127,端口更新為檢測(cè)到的開(kāi)放端口:

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

最后為了長(zhǎng)時(shí)間駐留,其創(chuàng)建了定時(shí)任務(wù),分為了用戶態(tài)以及內(nèi)核態(tài)兩種定時(shí)任務(wù)。

用戶態(tài):每小時(shí)執(zhí)行一次/bin/sh “/bin/nmi”;

內(nèi)核態(tài):每天執(zhí)行一次/bin/sh “/var/run/pm-utils/locks/nbus”;

每周日?qǐng)?zhí)行/bin/sh “/usr/lib/rpm/platform/x86_x64-linux/.dbus”。

Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析

大多數(shù)時(shí)候,都是直接在root上查看,但是有些病毒是通過(guò)web漏洞等方式進(jìn)來(lái)的,所以在排查的時(shí)候,需要確認(rèn)一下目前能夠使用的用戶有哪些,并針對(duì)每個(gè)用戶進(jìn)行檢查,不然會(huì)出現(xiàn)遺漏,不能正確定位問(wèn)題所在。 

IOC

IP&Domain:

5.196.70.865.2.73.127speakupomaha.comlinuxservers.000webhostapp.comlinuxsrv134.xp3.biz

看完上述內(nèi)容,你們對(duì)Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析有進(jìn)一步的了解嗎?如果還想了解更多知識(shí)或者相關(guān)內(nèi)容,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝大家的支持。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI