ddos攻击平台针对国内IP发起攻击的DDoS样本分析

  一、序言
国内IP攻击DDoS样本分析

最近,全球团队捕获名为s tinke _ trojan.bak的恶意样本,并通过样本初步分析进行相应的病毒类型linux。已检查Trojan.Generic.DDoS。
示例MD5值等信息如下:
MD 5:43 a 5 c 08 bfac 85 e 097 b 1 eceeafeec 40
sha-1:9 e 9680 e 492 BF CDF 894 bdedc 92 DC 2548 f 0474 f 1d
File Type ELF
Magic: elf 32位LSB executable,Intel 80386,version 1 (sysv),stationcally linked,for GNU/Linux 2.2.5,not stripped
trid elf executable and linkable format(Linux)(50.1%)
Elf executable and linkable format(一般)(49.8%)
文件大小1.17 MB

此次捕获的病毒系列很复杂,多种多样,使用大量密钥字符加密(动态解密过程)。利用Linux特性感染大量系统文件(高效且非临时),作为自我保护和持续攻击的手段。
利用Linux系统的原理巧妙地伪装和隐藏,将受感染的服务器移植到后门,发起DDos网络攻击,如果移植到木马上,可能会造成巨大的损失和不可预测的损失。
二、行为分析
通过观察病毒的壳是否被去除来调查壳,不会粘上壳,如下所示:
国内IP攻击DDoS样本分析
图1:检查外壳
病毒通过拖动到虚拟机或沙箱中运行,观察病毒对系统恶意行为(如配置修改、网络操作等)的影响,并对病毒操作结果深入如下:
国内IP攻击DDoS样本分析
国内IP攻击DDoS样本分析
图2:行动监测

三、样品详细分析
(1)样品执行过程分析
通过拖动到IDA观察样品复杂性的方法如下:
国内IP攻击DDoS样本分析
图3: IDA VIEW
使用字符串交叉引用提取有效的字符串信息,该信息可提取众多DDos攻击的IP(最多300个以上),如下所示:
国内IP攻击DDoS样本分析
图4:目标IP源

放置在病毒入口点,通过样品动态调试,执行过程如下:
国内IP攻击DDoS样本分析
国内IP攻击DDoS样本分析
国内IP攻击DDoS样本分析
图5:病毒执行过程
(2)动态解密字符串模块
解密的数据被分配给全局变量。
国内IP攻击DDoS样本分析
国内IP攻击DDoS样本分析
图6:动态解密数据
通过字符串动态解密,最后解密正确的IP域名端口等数据:
国内IP攻击DDoS样本分析
图7: ip/域名/端口

最后清除为全局变量赋值的数据,如下所示:
国内IP攻击DDoS样本分析
国内IP攻击DDoS样本分析
图8:域名解析
(3)MainBeikong模块
观察执行过程,如果病毒第一次执行时g_iGatesType的值为1,则必须进入相应的函数,函数分析如下:
国内IP攻击DDoS样本分析
图9: MainBeikong
运行恶意代码会首先删除killPid和“/tmp/bill.lock”,启动目录中存在bash,判断和删除一些文件,并确保唯一性(这些文件将在以后创建)。
此时,以前的全局变量g_strSN(DbSecuritySpt)伪装在init.d和RC目录下,以检查写文件数据,从而是病毒源文件的绝对路径。
国内IP攻击DDoS样本分析
图10:伪装起始源

使用自封装的函数MkdirPid创建文件并创建线程文件。通过sysdig或动态运行代码后,使用全局变量g_strGL(lod)后缀创建文件记录Pid,如下所示:
国内IP攻击DDoS样本分析
图11:写入Pid
MainBeikong函数进入末尾,函数整理环境(因为每次函数运行时fork()都会创建新进程并退出当前进程),然后按如下方式将自己添加到系统服务中,准备将MainBackdoovr预热到下一步:
国内IP攻击DDoS样本分析
图12: MainBeikong

(注意:windows可以使用OD等工具在新线程中创建其他回调,也可以在Thread执行回调时断开连接。将exit与Linux fork或processthread一起使用时,无法轻松切断新过程,提供想法,IDC允许您修改二进制机器代码和程序集指令,从而获得完全动态的调试效果。中选择所需的墙类型
(4) mainbackspace模块
MainBackdoorv函数是病毒中特别重要的部分。以下是恶意攻击的起点,是侧重于分析的函数,如下所示:
国内IP攻击DDoS样本分析
图13: MainBackdoorv
此函数检查是否存在由getty.lock.ak、g _ strdg (selinux)全局变量解密的数据创建的文件,如果文件不存在,则创建该文件并获取全局变量g_strBDSN,如下所示:
国内IP攻击DDoS样本分析
图14: selinux伪装
(5)MainProcess模块
MainProcess包含CC通信,可以直接构建服务器,生成大量线程(多线程方法),并通过优秀的线程锁和线程池控制攻击线程。使用不同的封装类来调用对象执行,使用this作为参数,使用this作为回调函数列表,通过指针偏移调用恶意代码是一个非常复杂的函数,重点是以下分析:
国内IP攻击DDoS样本分析
图15: MainProcess执行过程
MainProcess首先使用Google公开的服务器更新了域名,如下所示:web捕获包如图8所示。
国内IP攻击DDoS样本分析
图16: InitDNSCache

如图4所示,许多攻击IP已初始化,/usr/lib/libamplify.so动态链接模块被感染,ATK(攻击)模块和this偏移已初始化如下:
国内IP攻击DDoS样本分析
图17: ATK模块
在动态调试过程中,还发现函数感染了很多文件,并提取了755的权限感染的文件名,如下所示:
国内IP攻击DDoS样本分析
国内IP攻击DDoS样本分析
图18:受感染的文件
使用套接字创建线程并调用类管理器来创建服务器以接收客户端(从IP组返回的数据),发送大量数据,如下所示:
国内IP攻击DDoS样本分析
国内IP攻击DDoS样本分析
国内IP攻击DDoS样本分析
图19:插槽DDOS

这个样本是一个更独特的部分,维护了很多对象,并将this指针的调用列表值作为新的线程创建参数传递。在构造函数中初始化,在解除结构中执行了一些操作,如下所示:
国内IP攻击DDoS样本分析
国内IP攻击DDoS样本分析
国内IP攻击DDoS样本分析
图20: ObjectRef
最后,发现了封装每种类型DDoS攻击的主要攻击函数ProssMain,如下所示:
国内IP攻击DDoS样本分析
图21: DDos攻击包
(PS:附加DDoS攻击状态图表(模拟),可直观地感受DDoS对服务器的性能影响和风险。中选择所需的墙类型
国内IP攻击DDoS样本分析
图22: DDos攻击感度
四、整理恶意域名、IP和受攻击的IP
恶意域名:

Lea.f3222.org 103.73.160.25(香港、中国)
国内IP攻击DDoS样本分析
控制端-恶意IP:
130.73.160.2533520500(柏林、柏林、德国)
攻击目标IP(331个,大部分在中国):
61.132.163.68
202.102.192.68
202.102.213.68
.
221.7.92.86
221.7.92.98
五、病毒处理和加固措施
定性病毒行为和样本分析,清理受感染的文件并尝试恢复受感染的数据,增强服务器,编写以下伪脚本(根据实际情况需要):
国内IP攻击DDoS样本分析
图23:病毒处理和数据恢复脚本

六、摘要
经过病毒的全面分析,入侵系统后,会运行大量恶意代码,以启动多种形式的DDos攻击,包括文件感染、内核模块加载、伪装隐藏等恶意行为。
这是单纯难以确定检查和位置,无法捕捉病毒执行过程和文件数据感染的具体情况的观察行为。管理员必须加强安全预防意识,首次控制网络监控服务日志(如DDos监控)、服务器状态,以便及时发现、调查、跟踪、定位、分析、处理等,从而最大限度地减少病毒造成的损害。

相关推荐

发表评论

路人甲

网友评论(0)