来自 DDOS 2022-06-02 04:10 的文章

ddos防攻击_防ddos防火墙_超稳定

ddos防攻击_防ddos防火墙_超稳定

关于最新的Linux威胁,您只需知道一点。

2014年9月底,MalwareMustDie报告了Linux操作系统的一个新威胁,称为XOR.DDoS,它形成了一个用于分布式拒绝服务攻击的僵尸网络!小组。这篇文章提到了SSH连接的初始入侵、相关Linux可执行文件的静态属性以及使用的加密方法。后来,我们意识到安装过程是根据受害者的Linux环境定制的,以便运行额外的rootkit组件。在这篇博文中,我们将描述安装步骤、rootkit本身以及获取攻击命令的通信协议。

感染源于试图强行使用root用户的SSH登录凭据。如果成功,攻击者可以访问受损机器,然后通常通过外壳脚本安装特洛伊木马。脚本包含main、check、compiler、uncompress、setup、generate、upload、checkbuild等过程和变量,如uuu host\u 32\uuuuuuuuuu、uuu host\u 64\uuuuuuuuuu、uuuuuuuuu kernel\uuuuuuuuuuuuuuuu、uuuuuuuuuuuu remote\uuuuuuuuuuuuuuuuuuuu等。主过程根据系统的,iid参数是内核版本名称的MD5哈希。脚本首先通过命令lsmod列出当前系统上运行的所有模块。然后它取最后一个并提取其名称和参数vermagic。在我们的一个例子中,测试环境在"3.8.0-19-generic\SMP\mod_unload\modversions\686\"下运行,该环境的MD5哈希值等于CE74BF62ACFE944B2167248DD0674977。

向C&C发出三个GET请求。第一个由检查过程执行(注意最初的拼写错误):

然后编译器过程发出另一个GET请求,其中C&C服务器、版本信息等参数被传递到服务器,并在服务器上编译为新创建的可执行文件:

最后,cc可以防御,第三个GET请求以gzip存档的形式下载定制版本的特洛伊木马二进制文件,该文件被解包并执行:

前面的步骤仅在服务器端当前内核版本已经有内置版本的情况下运行。如果没有,脚本将在/lib/modules/%s/build/目录中找到内核头,其中%s表示调用带有参数r的uname命令后的返回值,国内cc防御,然后打包所有文件并使用名为mini的自定义上载程序将其上载到C&C服务器。第一个场景的步骤如下。

rootkit组件是一个可加载的内核模块(LKM)。要在系统上成功安装,LKM的vermagic值需要与用户系统上安装的内核头的版本一致。这就是以前安装步骤背后的动机。如果之前的序列失败,脚本将安装一个省略rootkit组件的特洛伊木马。

主可执行文件的二进制结构如下:

通过多种方式实现特洛伊木马的持久性。首先,它被安装到/boot/目录中,并带有一个随机的10个字符字符串。然后在/etc/init.d目录中创建与特洛伊木马程序同名的脚本。它与五个符号链接一起指向在/etc/rc%u.d/S90%s中创建的脚本,ddos攻击高防御服务器,其中%u从1运行到5,并且%s被随机替换。此外,还添加了一个脚本/etc/cron.hourly/cron.sh,内容为:

在crontab中插入了行"*/3****root/etc/cron.hourly/cron.sh"。

主可执行文件的功能存在于三个无限循环中,负责1.下载并执行机器人配置文件中的指令,2.将自身重新安装为/lib/udev/udev文件,阿里云服务器防御ddos,3.执行泛洪命令。配置文件包含四类列表:md5、denyip、filename和rmfile,意味着根据其CRC校验和终止正在运行的进程、与列表中的IP的活动通信、文件名,最后删除具有指定名称的文件。在下一幅图中,显示配置文件的一个片段(突出显示与竞争洪泛特洛伊木马相关的已知文件名):

在自己安装之前要杀死或删除的进程列表是洪泛特洛伊木马的典型特征。

我们还必须注意,此特洛伊木马的一个变体是为ARM架构编译的。这表明潜在感染系统的列表(除32位和64位Linux web服务器和台式机外)已扩展到路由器、物联网设备、NAS存储或32位ARM服务器(但尚未在野外观察到)。它在名为daemondown:

的无限循环中包含下载和执行功能的附加实现。几天前,观察到该特洛伊木马的一个新32位变体,几乎没有修改。bot安装为/lib/libgcc4.so文件,包含其标识字符串的唯一文件(见下文)为/var/run/udev.pid,初始化脚本为/etc/cron.hourly/udev.sh,rootkit功能完全省略。所有这些文件的存在都可能成为一种危害指标(IoC)。

用于Windows平台的特洛伊木马已经使用各种rootkit功能很长时间了。众所周知,一些特洛伊木马泛滥工具使用Agony rootkit的Windows变体(其源代码自2006年以来已公开共享和可用)。我们在2014年的Botconf大会上提交了与这些恶意DDoS工具相关的研究,该调查名为"长沙银行云盾服务开通鸡:多平台DDoS僵尸网络"。现在有一个针对Linux的洪泛特洛伊木马,它还包含一个嵌入式rootkit。它的主要功能是隐藏特洛伊木马活动的各个方面,并由switch表中的过程提供:

在用户空间中运行的特洛伊木马通过ioctl命令和特定代码(0x9748712)从内核的rootkit请求这些功能。首先通过打开一个名为rs_dev: