Xor.DDos僵尸网络详解(防御与查杀)

免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提学习,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无关。

##############################

Xor.DDoS 起源于中国,是一种专门感染Linux操作系统的病毒,用来组建进行DDoS攻击的僵尸网络。自2014年10月被安全研究人员首次曝光之后,Xor.DDoS病毒就在Linux系统僵尸网络中异常活跃,不断对网络进行感染和攻击,扩大僵尸网络规模。

所谓僵尸网络,就是指众多受感染计算机在无知觉的情况下成为攻击者的利用工具,像僵尸一样听从攻击者的控制和指挥。

据SIRT情报小组称,Xor.DDoS的DDoS攻击带宽已经从每秒数十亿字节提升到每秒150亿字节以上,可造成巨大的破坏力。Xor.DDoS僵尸网络每天至少瞄准20个网站,且将近90%的目标站点位于亚洲,游戏行业是其主要的攻击目标,其次是教育机构。

行为分析

1、感染方式

Xor.DDoS病毒主要针对Linux系统,通过对SSH端口弱密码进行暴力破解感染系统,感染后病毒自动完成安装,组成受攻击者控制的DDoS僵尸网络节点。

2、Xor.DDoS僵尸网络

病毒从样本中指定的C&C服务器列表中选择存活的C&C服务器进行连接并接受控制,每种病毒的C&C服务器都有多个,我们控制了其中一个样本的C&C服务器,控制端直接由图形界面进行手动操作。

我们搜集了多个Xor.DDoS病毒样本,每个样本的的C&C服务器均不相同,有些甚至来自美国、香港,通过对控制的C&C服务器进行分析,Xor.DDoS现在可能分成多个僵尸网络由不同的黑客所控制,而不是归属一个统一的僵尸网络。

 

 

3、功能分析

Xor.DDoS通过在/etc/init.d/、/etc/rcX.d(X为1-5)下设置自启动脚本,在/etc/cron.hourly/下设置定时脚本来保证自己的启动与运行,即使进程都被杀死也可以重新“活过来”。

/etc/init.d/下的启动脚本

/etc/rc1.d/下的启动连接

/etc/cron.hourly/下的定时脚本

该病毒含有rootkit模块,即先释放一个内核模块,再通过insmod插入到内核中,最后调用内核模块中功能实现端口隐藏、文件隐藏、进程隐藏等功能。不过捕获的样本中直接跳过了内核模块的安装和使用,可能是内核版本与编写者的不相同不兼容导致的。

虽然rootkit功能未能使用,病毒还是通过修改argv的方式来修改进程名,达到病毒进程伪装的目的,病毒的进程名会被修改为以下随机一个命令:

cat resolv.conf  、sleep 1、sh、cd /etc、bash、echo “find”、su、ifconfig eth0、ps-ef、ifconfig、ls、route -n、ls -la、gnome-terminal、top、id、netstat -an、who、netstat -antop、whoami、grep “A”、pwd、uptime

完成自启动设置、定时启动设置、进程隐藏后病毒启动多个线程可下载文件并执行,接受控制者指令等。

病毒随后会多次拷贝自身到/boot/目录中并启动,增加查杀难度。

病毒变种

对更多的Xor.DDoS样本进行分析,发现Xor.DDoS病毒存在多个版本,它们在/etc/hourly/目录下设置的定时器名称有所不同,已发现cron.sh、udev.sh、kill.sh等多种定时脚本名称;用于备份病毒的文件也有多种,已发现/lib/udev/udev、/lib/libgcc4.4.so等多种病毒备份名称。病毒用于复制拷贝的目录有/boot/、/bin/、/usr/bin/等多个。

同时各个样本的病毒控制服务器也均不相同,每个病毒可能属于攻击者的不同代理服务器,或者属于不同的僵尸网络所控制。

防御与查杀

该病毒主要由SSH端口密码破解感染,可以通过关闭端口、设置强密码、部署安全设备来进行防御。

由于受该病毒感染的主机较多,以下提供病毒的检查与清除方法。

1、检查/etc/init.d/目录,删除其中的为随机名称的启动脚本,内容一般形如:

/usr/bin/olntuwaiaj目录和程序名称可变。

2、检查/etc/cron.hourly/目录,删除其中的内容类似如下的定时脚本,脚本名称可能是前文提到的cron.sh、udev.sh或kill.sh等,内容如下:

      最后两条命令中的文件名及路径可能发生变化。

3、重新启动系统,删除/boot/、/bin/、/usr/bin/目录下的随机名称的病毒,删除/etc/rc1.d/到/etc/rc5.d/中连接到/etc/init.d/目录中病毒启动脚本的链接。

至此该病毒就完全清理了,最后别忘了加强SSH密码,免受Xor.DDoS的再次光临。

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/14752.html

Like (0)
速盾高防cdn的头像速盾高防cdn
Previous 2024年3月21日 下午10:48
Next 2024年3月21日

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注