您好,登錄后才能下訂單哦!
今天就跟大家聊聊有關(guān)Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲。
近期,深信服安全團(tuán)隊(duì)在排查問(wèn)題時(shí),遇到一臺(tái)主機(jī)不斷訪問(wèn)惡意域名linuxsrv134.xp3.biz,嘗試與之通信,通過(guò)對(duì)問(wèn)題主機(jī)的排查和域名的威脅情報(bào)分析,關(guān)聯(lián)到了一個(gè)2019年新型Linux蠕蟲(chóng)——ibus,這里針對(duì)其C&C模塊進(jìn)行詳細(xì)分析。
進(jìn)行第一階段的初始化以及檢測(cè)。判斷/tmp/.Abe0ffdecac1a561be917bfded951a7a pid記錄文件是否存在,判斷是否存在已經(jīng)運(yùn)行的線程。
再重新fork一個(gè)進(jìn)程:
并將新的pid記錄到/tmp/.Abe0ffdecac1a561be917bfded951a7a文件:
進(jìn)行第二階段的初始化,判斷配置文件/usr/share/hplip/data/images/24x24/.rc是否存在,其中包含配置文件的hash以及休眠時(shí)間:
判斷預(yù)定的UUID是否為空,如果為空則生產(chǎn)新的UUID并寫(xiě)到/usr/share/hplip/data/images/24x24/Remove_user.png文件。
完成第二階段初始化,進(jìn)入循環(huán)執(zhí)行階段:
MAIN為主函數(shù),通過(guò)調(diào)用check_relay, 判斷是否還存在指令:
但是目前該域名已經(jīng)過(guò)期了,獲取不到任何的數(shù)據(jù)。
如果還有未執(zhí)行的指令,就會(huì)調(diào)用Knock_Knock函數(shù)上傳ID信息來(lái)獲取被base64編碼和異或加密的指令內(nèi)容, 其指令任務(wù)內(nèi)容主要分為4大類,分別為needregr、newtask、notasks以及newreconfig。
下圖為任務(wù)處理過(guò)程:
具體指令功能見(jiàn)下表:
功能分類 | 功能編號(hào) | 具體功能 |
---|---|---|
Needregr | 上傳本地信息并更新配置文件 | |
Newtask(任務(wù)執(zhí)行) | 1 | 下載執(zhí)行 |
3 | 下載并且?guī)?shù)執(zhí)行 | |
6 | 退出 | |
9 | 進(jìn)行自我更新 | |
10 | 卸載 | |
11 | 命令執(zhí)行 | |
notasks | 根據(jù)休眠時(shí)長(zhǎng)休眠 | |
Newreconfig | 重新配置配置文件hash以及休眠時(shí)長(zhǎng) |
如果沒(méi)有指令或者網(wǎng)絡(luò)有問(wèn)題,為了繼續(xù)通信,就會(huì)嘗試以下4種方式:
目前該blog linuxservers.000webhostapp.com的指令如下,通過(guò)隱藏屬性隱藏。手動(dòng)可以訪問(wèn)該內(nèi)容,通過(guò)該腳本直接訪問(wèn)得到404:
根據(jù)DGA算法獲取新的C2地址,但是該方法目前并沒(méi)有實(shí)現(xiàn)。
最后為了長(zhǎng)時(shí)間駐留,其創(chuàng)建了定時(shí)任務(wù),分為了用戶態(tài)以及內(nèi)核態(tài)兩種定時(shí)任務(wù)。
用戶態(tài):每小時(shí)執(zhí)行一次/bin/sh “/bin/nmi”;
內(nèi)核態(tài):每天執(zhí)行一次/bin/sh “/var/run/pm-utils/locks/nbus”;
每周日?qǐng)?zhí)行/bin/sh “/usr/lib/rpm/platform/x86_x64-linux/.dbus”。
大多數(shù)時(shí)候,都是直接在root上查看,但是有些病毒是通過(guò)web漏洞等方式進(jìn)來(lái)的,所以在排查的時(shí)候,需要確認(rèn)一下目前能夠使用的用戶有哪些,并針對(duì)每個(gè)用戶進(jìn)行檢查,不然會(huì)出現(xiàn)遺漏,不能正確定位問(wèn)題所在。
5.196.70.865.2.73.127speakupomaha.comlinuxservers.000webhostapp.comlinuxsrv134.xp3.biz
看完上述內(nèi)容,你們對(duì)Linux平臺(tái)ibus蠕蟲(chóng)C&C模塊的源碼分析有進(jìn)一步的了解嗎?如果還想了解更多知識(shí)或者相關(guān)內(nèi)容,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝大家的支持。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。