153期报告汇总
安天发布《Ganiw Linux DDoS 木马分析报告》
近 日, 安 天 CERT( 安 全 研 究 与 应急处理中心)在梳理网络安全事件时 发现一种 DDoS 木马,其病毒家族名为 Trojan[Backdoor]/Linux.Ganiw。 该 木 马 自 2014 年开始出现,拥有多个变种,该木马 家 族 包 含 多 个 模 块, 包 括 atddd,cupsdd, cupsddh,ksapdd,kysapdd,skysapdd,xfsdxd 等,分别负责不同的功能。
该样本原始文件名为 sfewfesfs,属于模 块 cupsdd,比其他模块复杂。样本运行后 首先从一个字符串中取值用于初始化变量, “116.10.189.246:30000:1:1:h:578856:579372 :579888”,利用 RSA 算法进行解密,恶意 代码释放并执行一个文件,该文件位于原始 文件的偏移 0xb1728,大小是 335872 字节。 如果文件没有运行,恶意代码检查文件是否 试图将一个套接字绑定到 127.0.0.1:10808。如果尝试成功,这意味着该文件没有运行, 它需要释放并执行。如果文件已经运行,样 本 会 在 /tmp/bill.lock 中 找 到 进 程 的 PID 并 终止它,之后再释放并覆盖原文件。文件运 行后,如果标志 g_iIsService = = 1,该后门 创建自启动脚本 DbSecuritySpt /etc/init.d/, 接下来文件读取配置文件,配置文件读取完 成后,读取控制指令,该数据被储存在 g_ cmdDoing。之后,恶意代码获取所有必要 的系统信息,包括:操作系统名称及内核版 本( 通 过 调 用 unname())、CPU 时 钟 频 率 ( 从 /proc/cpuinfo 中 获 取)、CPU 核 心 数 量(/proc/cpuinfo)、 负 载(/proc/stat)、 网 络 负 载(/proc/net/dev)、 内 存 大 小(/ proc/meminfo)、网络接口信息(proc/net/ dev),所有这些数据被存储在 g_statBase 结 构体中。恶意代码会开启多个线程,同时执行几个额外的操作,最后从 C&C 接收并处 理命令。
安天 CERT 提醒广大网络使用者,要提 高网络安全意识,在日常工作中要及时进行 系统更新和漏洞修复,不要随意下载非正版 的应用软件、非官方游戏、注册机等。收发 邮件时要确认收发来源是否可靠,更加不要 随意点击或者复制邮件中的网址,不要轻易 下载来源不明的附件,发现网络异常要提高 警惕并及时采取应对措施,养成及时更新操 作系统和软件应用的好习惯。同时也要做好 文件的备份,以防止勒索软件加密重要文件 后无法恢复。
目前,安天追影产品已经实现了对该类 恶意代码的检出。
