該款木馬分析文章在2015年由@PETER KáLNAI 最先發(fā)表于AVAST的公開blog中���,木馬的架構(gòu)嚴(yán)謹(jǐn)�����,設(shè)計精良�����,應(yīng)該是產(chǎn)業(yè)化的一部分����。接下來我們就來看一下這款木馬的具體的感染����,命令執(zhí)行和持久化的思路,希望能給我們搞防御的小伙伴擴充一點防御思路����。
安裝腳本&感染媒介
木馬的最初感染方式十分傳(dou)統(tǒng)(bi),他是通過暴力登錄SSH服務(wù)獲取root權(quán)限的方式來成功搞下感染體的(這里就體現(xiàn)了一個高質(zhì)量的字典的重要程度了)���。成功拿下root權(quán)限之后��,攻擊者就會向目標(biāo)機器通過shell的方式利用腳本傳遞執(zhí)行安裝一個木馬�����。這個腳本文件主要包括一些程序如main, check, compiler, uncompress, setup, generate, upload, checkbuild和一些變量如 __host_32__, __host_64__, __kernel__, __remote__等�。主程序的作用是根據(jù)感染目標(biāo)機器的系統(tǒng)開發(fā)版本加密傳輸并且選擇C&C服務(wù)器。
在下面的請求中�,iid參數(shù)傳遞的是內(nèi)核版本名稱的MD5哈希。腳本首先用lsmod命令列本機所有的模塊信息��,然后���,提取名稱和vermagic字段���。在我們測試的環(huán)境中,被測試的環(huán)境是“3.8.0-19-generic SMP mod_unload modversions 686 ”����,對應(yīng)的MD5是CE74BF62ACFE944B2167248DD0674977。
接下來����,就有三個GET請求被發(fā)送到C&C服務(wù)器上����。
第一個是表明目標(biāo)機器運行的操作系統(tǒng)的信息:
request:
GET /check?iid=CE74BF62ACFE944B2167248DD0674977&kernel=3.8.0reply:
1001|CE74BF62ACFE944B2167248DD0674977|header directory is exists!
然后����,compiler程序會發(fā)送第二個GET請求:請求中包括的字段我們猜測應(yīng)該有C&C服務(wù)器,版本信息等���,通過這個帶有本機特定版本信息的請求,服務(wù)器可以據(jù)此生成一個可執(zhí)行程序:
小編推薦閱讀
