溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇文章為大家展示了僵尸網絡XorDDoS的原理分析與清除是怎樣的,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。
XorDDoS僵尸網絡家族從2014年一直存活至今,因其解密方法大量使用Xor而被命名為XorDDoS,該僵尸網絡家族目前活躍程度仍舊較高,主要是攻擊者對其C2一直持續進行更新,下圖是深信服云腦中對XorDDoS網絡請求趨勢分析,從訪問情況來看較為穩定。
下圖為該僵尸網絡家族在國內的感染分布圖,可以看到主要存在廣東以及江浙一帶。
防護原理分析深信服安全團隊對XorDDos家族的防護原理進行詳細分析,并對其做清除處理。主要進程的執行流程如下:
cron.hourly下的bash文件,其中包含了其比較明顯的特征名稱,曾經出現過以下幾種(可能還有更多)
/etc/cron.hourly/udev.sh => cp /lib/libgcc4.so /lib/libgcc4.4.so
/etc/cron.hourly/gcc.sh => cp /lib/libudev.so /lib/libudev.so.6
/etc/cron.hourly/gcc4.sh => cp /lib/libudev4.so /lib/libudev4.so.6
/etc/cron.hourly/cron.sh => cp /lib/udev/dev /lib/udev/debug (rootkit 版本, /proc/rs_dev)
解密daemonname子串,解密部分其他文章已經做了很詳細的分析,解密字符串如下:
然后會執行daemon(1,0)創建守護進程,守護進程的描述如下:
接下來它會對進程的參數數量做檢查,主要包括對2個和3個參數的處理。
如果只有一個參數,會對當前運行文件的路徑與/usr/bin/、/bin、/tmp目錄做對比,如果不在上述任意一個目錄,會進行創建/usr/bin、/bin、/tmp、/lib、/var/run目錄,拷貝文件到/lib/libudev4.so(這只是其中一個變種),然后拷貝自身到/usr/bin、/bin、/tmp下面任意一個目錄(名稱為10個小寫字母隨機名,一個成功就不會拷貝到其他目錄),并且變換md5,執行該文件。
這里的LinuxExec實際是dobulefork來創建子進程,然后再次調用execvp來創建一個新進程(2個參數)。
接下來就會刪除當前運行的進程的自身文件。
當進程是運行在/usr/bin、/bin、/tmp任意一個目錄下的,則會先獲取共享內存,獲取共享內存成功當前的進程pid寫入共享內存。
然后轉到添加服務,這里就是各種啟動項以及定時任務。
生成一個隨機ID,從之前的daemonname中隨機挑選一個,然后將這個daemonname放到進程環境變量argv中,就會在系統中將本進程的名稱改變,達到迷惑的作用。
接下來創建一個daemon_process線程,該線程會檢測/var/run/xxx.pid文件;/lib目錄下的母體文件,沒有檢測到母體文件就重新拷貝一份;檢測當前進程的文件是否還存在,不存在則將當前進程殺死(這里是一個bug點,后續對清除有很大作用)。
daemon_process進程詳細如下:
繼續刪除自身文件,重新創建文件和進程,這就是XorDDos進程終止后會被重新拉起的原因。
rootkit版本
XorDDoS的rootkit模塊來源于https://github.com/mncoppola/suterusu項目,但在實際環境中,該模塊的安裝函數并沒有執行,因此未能成功安裝。
從分析中知道,會有一個daemon_process線程對文件狀態進行檢測,文件不存在就將進程殺死,所以在將惡意啟動項、定時任務等清除以后,使用chattr對xorddos涉及到的幾個目錄加鎖,然后病毒進程就會自動終止,之后再將被加鎖的文件夾恢復。
病毒檢測查殺
深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。
病毒防御
1、使用深信服安全產品,接入安全云腦,使用云查服務可以即時檢測防御新威脅;
2、深信服推出安全運營服務,通過以“人機共智”的服務模式幫助用戶快速擴展安全能力,針對此類威脅安全運營服務提供設備安全設備策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防范此類威脅。
最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網進行感知、查殺和防護。
上述內容就是僵尸網絡XorDDoS的原理分析與清除是怎樣的,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
