网络管理技术分享之linux ddos攻防知识

2015-10-16 09:27 作者：admin 浏览量：

　　对恶意软件"Linux/XOR.DDoS" 感染事件分析，该恶意软件试图感染真正的linux服务器。

　　0x01 背景：

　　事件细节：

　　攻击源：通过某种方式监控来到攻击来源107.182.141.40，可以看到这个ip的一些具体信息。（服务器维护外包） 

　　#!bash

　　"ip": "107.182.141.40",

　　"hostname": "40-141-182-107-static.reverse.queryfoundry.net",

　　"city": "Los Angeles",

　　"region": "California",

　　"country": "US",

　　"loc": "34.0530,-118.2642",

　　"org": "AS62638 Query Foundry, LLC",

　　"postal": "90017",

　　"phone": "213"

　　攻击者登录通过ssh密码登录一台linux：

　　#!bash

　　[2015-06-23 01:29:42]: New connection: 107.182.141.40:41625(网络维护服务公司)

　　[2015-06-23 01:29:42]: Client version: [SSH-2.0-PUTTY]

　　这个web上的ip信息：

　　#!bash

　　"ip": "198.15.234.66",

　　"hostname": "No Hostname",

　　"city": "Nanjing",

　　"region": "Jiangsu",

　　"country": "CN",

　　"loc": "32.0617,118.7778",

　　"org": "AS11282 SERVERYOU INC",

　　"postal": "210004"

　　通过dig 发现该ip的一些附加域信息：

　　#!bash

　　;; QUESTION SECTION:

　　;44ro4.cn. IN A

　　;; ANSWER SECTION:

　　44ro4.cn. 600 IN A 23.228.238.131

　　44ro4.cn. 600 IN A 198.15.234.66

　　;; AUTHORITY SECTION:

　　44ro4.cn. 3596 IN NS ns2.51dns.com.

　　0x02 感染的方法，伪装和总结

　　通过进一步研究恶意软件，该软件看起来像是ZIP压缩文件的恶意软件，从文件格式上看出像是一个shell脚本的恶意软件安装程序

　　44ro4.cn. 3596 IN NS ns1.51dns.com.

　　[2015-06-23 01:29:43]: Login succeeded [***/***]

　　这是Linux/XorDDOSs，这种恶意软件的感染后使作为BOT被感染的机器，远程控制的恶意程序，配置，拒绝IP，程序和配置。他们使用的是XOR'ed加密通信，发送预先与MD5编码过程。该恶意软件的精灵的主要功能是为一个隐形的DDoS攻击的僵尸网络。

　　这一事件的重要亮点和恶意软件使用：

　　我们使用用于此恶意软件感染的基础设施 (攻击者的IP来自美国主机，一个IP用于感染) 总在Linux/XorDDOSs，多个主机的使用：四数控系统。三的人建议是硬编码在主机名(有相关的领域)，从被感染的机器接收回调，而其中的主机充当下载服务器被感染的机器要求后门下载可疑的恶意文件。 异或加密功能是用现在解密滴，读取配置文件从远程主机下载(是的，它似乎被下载的配置文件)，并发送通信数据。（it外包）

　　这里是poc：

　　这些是cnc 与kernel的交互信息，这里用到了调试神器strace.

　　然后通过shell执行了如下命令：

　　通过恶意软件交互分析到的dns请求：

　　tcpdump中的timestamp时间戳。

　　#!bash

　　08:21:20.078878 IP mmd.bangs.xorddos.40274 > 8.8.8.8: 27458+ A? aa.hostasa.org. (32)

　　08:21:20.080602 IP mmd.bangs.xorddos.38988 > 8.8.8.8: 44387+ A? ns4.hostasa.org. (33)

　　08:21:25.092061 IP mmd.bangs.xorddos.45477 > 8.8.8.8: 58191+ A? ns3.hostasa.org. (33)

　　08:21:25.269790 IP mmd.bangs.xorddos.51687 > 8.8.8.8: 22201+ A? ns2.hostasa.org. (33)

　　艾锑无限是中国领先IT外包服务商，专业为企业提供IT运维外包、电脑维护、网络维护、网络布线、办公设备维护、服务器维护、数据备份恢复、门禁监控、网站建设等多项IT服务外包,服务热线：400-650-7820 联系电话：010-62684652 咨询QQ1548853602 地址：北京市海淀区北京科技会展2号楼16D,用心服务每一天，为企业的发展提升更高的效率，创造更大的价值。

　　更多的IT外包信息尽在艾锑无限http://www.itbmw.com