僵尸網(wǎng)絡(luò)XorDDoS的原理分析與清除是怎樣的

本篇文章為大家展示了僵尸網(wǎng)絡(luò)XorDDoS的原理分析與清除是怎樣的，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

家族背景以及現(xiàn)狀介紹

XorDDoS僵尸網(wǎng)絡(luò)家族從2014年一直存活至今，因其解密方法大量使用Xor而被命名為XorDDoS，該僵尸網(wǎng)絡(luò)家族目前活躍程度仍舊較高，主要是攻擊者對其C2一直持續(xù)進行更新，下圖是深信服云腦中對XorDDoS網(wǎng)絡(luò)請求趨勢分析，從訪問情況來看較為穩(wěn)定。

下圖為該僵尸網(wǎng)絡(luò)家族在國內(nèi)的感染分布圖，可以看到主要存在廣東以及江浙一帶。

防護原理分析

深信服安全團隊對XorDDos家族的防護原理進行詳細分析，并對其做清除處理。主要進程的執(zhí)行流程如下：

cron.hourly下的bash文件,其中包含了其比較明顯的特征名稱，曾經(jīng)出現(xiàn)過以下幾種(可能還有更多)

• /etc/cron.hourly/udev.sh => cp /lib/libgcc4.so /lib/libgcc4.4.so

• /etc/cron.hourly/gcc.sh => cp /lib/libudev.so /lib/libudev.so.6

• /etc/cron.hourly/gcc4.sh => cp /lib/libudev4.so /lib/libudev4.so.6

• /etc/cron.hourly/cron.sh => cp /lib/udev/dev /lib/udev/debug (rootkit 版本, /proc/rs_dev)

解密daemonname子串，解密部分其他文章已經(jīng)做了很詳細的分析，解密字符串如下：

然后會執(zhí)行daemon(1,0)創(chuàng)建守護進程，守護進程的描述如下：

接下來它會對進程的參數(shù)數(shù)量做檢查，主要包括對2個和3個參數(shù)的處理。

如果只有一個參數(shù)，會對當(dāng)前運行文件的路徑與/usr/bin/、/bin、/tmp目錄做對比，如果不在上述任意一個目錄，會進行創(chuàng)建/usr/bin、/bin、/tmp、/lib、/var/run目錄，拷貝文件到/lib/libudev4.so(這只是其中一個變種)，然后拷貝自身到/usr/bin、/bin、/tmp下面任意一個目錄(名稱為10個小寫字母隨機名，一個成功就不會拷貝到其他目錄)，并且變換md5,執(zhí)行該文件。

這里的LinuxExec實際是dobulefork來創(chuàng)建子進程，然后再次調(diào)用execvp來創(chuàng)建一個新進程(2個參數(shù)）。

接下來就會刪除當(dāng)前運行的進程的自身文件。

當(dāng)進程是運行在/usr/bin、/bin、/tmp任意一個目錄下的，則會先獲取共享內(nèi)存，獲取共享內(nèi)存成功當(dāng)前的進程pid寫入共享內(nèi)存。

然后轉(zhuǎn)到添加服務(wù)，這里就是各種啟動項以及定時任務(wù)。

生成一個隨機ID，從之前的daemonname中隨機挑選一個，然后將這個daemonname放到進程環(huán)境變量argv中，就會在系統(tǒng)中將本進程的名稱改變，達到迷惑的作用。

接下來創(chuàng)建一個daemon_process線程，該線程會檢測/var/run/xxx.pid文件；/lib目錄下的母體文件，沒有檢測到母體文件就重新拷貝一份；檢測當(dāng)前進程的文件是否還存在，不存在則將當(dāng)前進程殺死(這里是一個bug點，后續(xù)對清除有很大作用)。

daemon_process進程詳細如下：

繼續(xù)刪除自身文件，重新創(chuàng)建文件和進程，這就是XorDDos進程終止后會被重新拉起的原因。

rootkit版本

XorDDoS的rootkit模塊來源于https://github.com/mncoppola/suterusu項目，但在實際環(huán)境中，該模塊的安裝函數(shù)并沒有執(zhí)行，因此未能成功安裝。

清除原理

從分析中知道，會有一個daemon_process線程對文件狀態(tài)進行檢測，文件不存在就將進程殺死，所以在將惡意啟動項、定時任務(wù)等清除以后，使用chattr對xorddos涉及到的幾個目錄加鎖，然后病毒進程就會自動終止，之后再將被加鎖的文件夾恢復(fù)。

防護建議

病毒檢測查殺

深信服為廣大用戶免費提供查殺工具，可下載如下工具，進行檢測查殺。

 病毒防御

1、使用深信服安全產(chǎn)品，接入安全云腦，使用云查服務(wù)可以即時檢測防御新威脅；

2、深信服推出安全運營服務(wù)，通過以“人機共智”的服務(wù)模式幫助用戶快速擴展安全能力，針對此類威脅安全運營服務(wù)提供設(shè)備安全設(shè)備策略檢查、安全威脅檢查、相關(guān)漏洞檢查等服務(wù)，確保第一時間檢測風(fēng)險以及更新策略，防范此類威脅。

最后，建議企業(yè)對全網(wǎng)進行一次安全檢查和殺毒掃描，加強防護工作。推薦使用深信服安全感知+防火墻+EDR，對內(nèi)網(wǎng)進行感知、查殺和防護。

上述內(nèi)容就是僵尸網(wǎng)絡(luò)XorDDoS的原理分析與清除是怎樣的，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注億速云行業(yè)資訊頻道。