網絡管理技術分享之linux ddos攻防知識

2015-10-16 09:27 作者：admin 瀏覽量：

　　對惡意軟件"Linux/XOR.DDoS" 感染事件分析，該惡意軟件試圖感染真正的linux服務器。

　　0x01 背景：

　　事件細節：

　　攻擊源：通過某種方式監控來到攻擊來源107.182.141.40，可以看到這個ip的一些具體信息。（服務器維護外包） 

　　#!bash

　　"ip": "107.182.141.40",

　　"hostname": "40-141-182-107-static.reverse.queryfoundry.net",

　　"city": "Los Angeles",

　　"region": "California",

　　"country": "US",

　　"loc": "34.0530,-118.2642",

　　"org": "AS62638 Query Foundry, LLC",

　　"postal": "90017",

　　"phone": "213"

　　攻擊者登錄通過ssh密碼登錄一臺linux：

　　#!bash

　　[2015-06-23 01:29:42]: New connection: 107.182.141.40:41625(網絡維護服務公司)

　　[2015-06-23 01:29:42]: Client version: [SSH-2.0-PUTTY]

　　這個web上的ip信息：

　　#!bash

　　"ip": "198.15.234.66",

　　"hostname": "No Hostname",

　　"city": "Nanjing",

　　"region": "Jiangsu",

　　"country": "CN",

　　"loc": "32.0617,118.7778",

　　"org": "AS11282 SERVERYOU INC",

　　"postal": "210004"

　　通過dig 發現該ip的一些附加域信息：

　　#!bash

　　;; QUESTION SECTION:

　　;44ro4.cn. IN A

　　;; ANSWER SECTION:

　　44ro4.cn. 600 IN A 23.228.238.131

　　44ro4.cn. 600 IN A 198.15.234.66

　　;; AUTHORITY SECTION:

　　44ro4.cn. 3596 IN NS ns2.51dns.com.

　　0x02 感染的方法，偽裝和總結

　　通過進一步研究惡意軟件，該軟件看起來像是ZIP壓縮文件的惡意軟件，從文件格式上看出像是一個shell腳本的惡意軟件安裝程序

　　44ro4.cn. 3596 IN NS ns1.51dns.com.

　　[2015-06-23 01:29:43]: Login succeeded [***/***]

　　這是Linux/XorDDOSs，這種惡意軟件的感染后使作為BOT被感染的機器，遠程控制的惡意程序，配置，拒絕IP，程序和配置。他們使用的是XOR'ed加密通信，發送預先與MD5編碼過程。該惡意軟件的精靈的主要功能是為一個隱形的DDoS攻擊的僵尸網絡。

　　這一事件的重要亮點和惡意軟件使用：

　　我們使用用于此惡意軟件感染的基礎設施 (攻擊者的IP來自美國主機，一個IP用于感染) 總在Linux/XorDDOSs，多個主機的使用：四數控系統。三的人建議是硬編碼在主機名(有相關的領域)，從被感染的機器接收回調，而其中的主機充當下載服務器被感染的機器要求后門下載可疑的惡意文件。 異或加密功能是用現在解密滴，讀取配置文件從遠程主機下載(是的，它似乎被下載的配置文件)，并發送通信數據。（it外包）

　　這里是poc：

　　這些是cnc 與kernel的交互信息，這里用到了調試神器strace.

　　然后通過shell執行了如下命令：

　　通過惡意軟件交互分析到的dns請求：

　　tcpdump中的timestamp時間戳。

　　#!bash

　　08:21:20.078878 IP mmd.bangs.xorddos.40274 > 8.8.8.8: 27458+ A? aa.hostasa.org. (32)

　　08:21:20.080602 IP mmd.bangs.xorddos.38988 > 8.8.8.8: 44387+ A? ns4.hostasa.org. (33)

　　08:21:25.092061 IP mmd.bangs.xorddos.45477 > 8.8.8.8: 58191+ A? ns3.hostasa.org. (33)

　　08:21:25.269790 IP mmd.bangs.xorddos.51687 > 8.8.8.8: 22201+ A? ns2.hostasa.org. (33)

　　艾銻無限是中國領先IT外包服務商，專業為企業提供IT運維外包、電腦維護、網絡維護、網絡布線、辦公設備維護、服務器維護、數據備份恢復、門禁監控、網站建設等多項IT服務外包,服務熱線：400-650-7820 聯系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區北京科技會展2號樓16D,用心服務每一天，為企業的發展提升更高的效率，創造更大的價值。

　　更多的IT外包信息盡在艾銻無限http://www.richjn.cn