孙建平 男 千里目安全实验室团队成员 专注Web漏洞挖掘研究与病毒分析,擅长二进制、逆向技术、渗透技术,经常出没于大型客户应急响应现场 警惕:Linux系统异常缓慢?你可能已陷入Xor.DDoS僵尸网络
近期,千里目安全实验室响应了多起Linux安全应急事件。在这些事件中,被感染的服务器呈现的普遍现象是网络带宽被发送的大量异常数据包所占用,导致网络异常缓慢。经检测发现,这些现象大部分都是由Xor.DDoS病毒引发的。
千里百科 Xor.DDoS 起源于中国,是一种专门感染Linux操作系统的病毒,用来组建进行DDoS攻击的僵尸网络。自2014年10月被安全研究人员首次曝光之后,Xor.DDoS病毒就在Linux系统僵尸网络中异常活跃,不断对网络进行感染和攻击,扩大僵尸网络规模。
所谓僵尸网络,就是指众多受感染计算机在无知觉的情况下成为攻击者的利用工具,像僵尸一样听从攻击者的控制和指挥。
据SIRT情报小组称,Xor.DDoS的DDoS攻击带宽已经从每秒数十亿字节提升到每秒150亿字节以上,可造成巨大的破坏力。Xor.DDoS僵尸网络每天至少瞄准20个网站,且将近90%的目标站点位于亚洲,游戏行业是其主要的攻击目标,其次是教育机构。
行为分析 1、感染方式 Xor.DDoS病毒主要针对Linux系统,通过对SSH端口弱密码进行暴力破解感染系统,感染后病毒自动完成安装,组成受攻击者控制的DDoS僵尸网络节点。
2、Xor.DDoS僵尸网络 病毒从样本中指定的C&C服务器列表中选择存活的C&C服务器进行连接并接受控制,每种病毒的C&C服务器都有多个,我们控制了其中一个样本的C&C服务器,控制端直接由图形界面进行手动操作。 我们搜集了多个Xor.DDoS病毒样本,每个样本的的C&C服务器均不相同,有些甚至来自美国、香港,通过对控制的C&C服务器进行分析,Xor.DDoS现在可能分成多个僵尸网络由不同的黑客所控制,而不是归属一个统一的僵尸网络。
3、功能分析 Xor.DDoS通过在/etc/init.d/、/etc/rcX.d(X为1-5)下设置自启动脚本,在/etc/cron.hourly/下设置定时脚本来保证自己的启动与运行,即使进程都被杀死也可以重新“活过来”。 /etc/init.d/下的启动脚本
/etc/rc1.d/下的启动连接
/etc/cron.hourly/下的定时脚本
该病毒含有rootkit模块,即先释放一个内核模块,再通过insmod插入到内核中,最后调用内核模块中功能实现端口隐藏、文件隐藏、进程隐藏等功能。不过捕获的样本中直接跳过了内核模块的安装和使用,可能是内核版本与编写者的不相同不兼容导致的。
虽然rootkit功能未能使用,病毒还是通过修改argv的方式来修改进程名,达到病毒进程伪装的目的,病毒的进程名会被修改为以下随机一个命令: cat resolv.conf 、sleep 1、sh、cd /etc、bash、echo “find”、su、ifconfig eth0、ps-ef、ifconfig、ls、route -n、ls -la、gnome-terminal、top、id、netstat -an、who、netstat -antop、whoami、grep “A”、pwd、uptime 完成自启动设置、定时启动设置、进程隐藏后病毒启动多个线程可下载文件并执行,接受控制者指令等。 病毒随后会多次拷贝自身到/boot/目录中并启动,增加查杀难度。
病毒变种 对更多的Xor.DDoS样本进行分析,发现Xor.DDoS病毒存在多个版本,它们在/etc/hourly/目录下设置的定时器名称有所不同,已发现cron.sh、udev.sh、kill.sh等多种定时脚本名称;用于备份病毒的文件也有多种,已发现/lib/udev/udev、/lib/libgcc4.4.so等多种病毒备份名称。病毒用于复制拷贝的目录有/boot/、/bin/、/usr/bin/等多个。 同时各个样本的病毒控制服务器也均不相同,每个病毒可能属于攻击者的不同代理服务器,或者属于不同的僵尸网络所控制。
防御与查杀 该病毒主要由SSH端口密码破解感染,可以通过关闭端口、设置强密码、部署安全设备来进行防御。 由于受该病毒感染的主机较多,以下提供病毒的检查与清除方法。 1、检查/etc/init.d/目录,删除其中的为随机名称的启动脚本,内容一般形如: /usr/bin/olntuwaiaj目录和程序名称可变。
2、检查/etc/cron.hourly/目录,删除其中的内容类似如下的定时脚本,脚本名称可能是前文提到的cron.sh、udev.sh或kill.sh等,内容如下:
最后两条命令中的文件名及路径可能发生变化。
3、重新启动系统,删除/boot/、/bin/、/usr/bin/目录下的随机名称的病毒,删除/etc/rc1.d/到/etc/rc5.d/中连接到/etc/init.d/目录中病毒启动脚本的链接。
至此该病毒就完全清理了,最后别忘了加强SSH密码,免受Xor.DDoS的再次光临。 | 
发表于 2016-3-18 09:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2016-3-18 10:41
楼主
技术研究员2级 
