溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
今天就跟大家聊聊有關Linux平臺ibus蠕蟲C&C模塊的源碼分析,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結了以下內容,希望大家根據這篇文章可以有所收獲。
近期,深信服安全團隊在排查問題時,遇到一臺主機不斷訪問惡意域名linuxsrv134.xp3.biz,嘗試與之通信,通過對問題主機的排查和域名的威脅情報分析,關聯到了一個2019年新型Linux蠕蟲——ibus,這里針對其C&C模塊進行詳細分析。
進行第一階段的初始化以及檢測。判斷/tmp/.Abe0ffdecac1a561be917bfded951a7a pid記錄文件是否存在,判斷是否存在已經運行的線程。
再重新fork一個進程:
并將新的pid記錄到/tmp/.Abe0ffdecac1a561be917bfded951a7a文件:
進行第二階段的初始化,判斷配置文件/usr/share/hplip/data/images/24x24/.rc是否存在,其中包含配置文件的hash以及休眠時間:
判斷預定的UUID是否為空,如果為空則生產新的UUID并寫到/usr/share/hplip/data/images/24x24/Remove_user.png文件。
完成第二階段初始化,進入循環執行階段:
MAIN為主函數,通過調用check_relay, 判斷是否還存在指令:
但是目前該域名已經過期了,獲取不到任何的數據。
如果還有未執行的指令,就會調用Knock_Knock函數上傳ID信息來獲取被base64編碼和異或加密的指令內容, 其指令任務內容主要分為4大類,分別為needregr、newtask、notasks以及newreconfig。
下圖為任務處理過程:
具體指令功能見下表:
| 功能分類 | 功能編號 | 具體功能 |
|---|---|---|
| Needregr | 上傳本地信息并更新配置文件 | |
| Newtask(任務執行) | 1 | 下載執行 |
| 3 | 下載并且帶參數執行 | |
| 6 | 退出 | |
| 9 | 進行自我更新 | |
| 10 | 卸載 | |
| 11 | 命令執行 | |
| notasks | 根據休眠時長休眠 | |
| Newreconfig | 重新配置配置文件hash以及休眠時長 |
如果沒有指令或者網絡有問題,為了繼續通信,就會嘗試以下4種方式:
目前該blog linuxservers.000webhostapp.com的指令如下,通過隱藏屬性隱藏。手動可以訪問該內容,通過該腳本直接訪問得到404:
根據DGA算法獲取新的C2地址,但是該方法目前并沒有實現。
最后為了長時間駐留,其創建了定時任務,分為了用戶態以及內核態兩種定時任務。
用戶態:每小時執行一次/bin/sh “/bin/nmi”;
內核態:每天執行一次/bin/sh “/var/run/pm-utils/locks/nbus”;
每周日執行/bin/sh “/usr/lib/rpm/platform/x86_x64-linux/.dbus”。
大多數時候,都是直接在root上查看,但是有些病毒是通過web漏洞等方式進來的,所以在排查的時候,需要確認一下目前能夠使用的用戶有哪些,并針對每個用戶進行檢查,不然會出現遺漏,不能正確定位問題所在。
5.196.70.865.2.73.127speakupomaha.comlinuxservers.000webhostapp.comlinuxsrv134.xp3.biz
看完上述內容,你們對Linux平臺ibus蠕蟲C&C模塊的源碼分析有進一步的了解嗎?如果還想了解更多知識或者相關內容,請關注億速云行業資訊頻道,感謝大家的支持。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
