一直活躍的linux下的rootkit分析

1、概述

? ? 近期神州網云(北京)信息技術有限公司捕獲到一種新型linux惡意軟件。惡意程序提交到virustotal進行檢測發現木馬程序及rootkit程序殺毒軟件檢測率均為零。后國外安全機構Intezer進行分析并將此惡意軟件命名為“HiddenWasp”。部分技術細節我司此次專門進行了更正與補充。

2、詳細描述

2.1、綜述

? ? HiddenWasp是一款控制遠程目標的木馬,其融入了Mirai、adore-ng(國外linux開源rootkit部分,名稱為Adore-ng,作者為stealth)等源碼。當前此款惡意軟件仍然活躍。

2.2、程序流程

  • 程序流程如下所示:

2.3、Upgrade.sh腳本

  • ? ? 被感染系統首先從遠程服務器下載初始腳本Upgrade.sh保存到tmp目錄。Upgrade.sh下載system.tar.gz并解壓出bash腳本ssh。如下圖所示:

  • 經virustotal檢測發現其關聯有其他程序:

2.4、ssh腳本

  • ssh腳本創建新用戶、下載木馬安裝程序、刪除舊版本。如下圖所示為創建新用戶,用戶名為sftp,密碼為[email protected]*lG。

  • 刪除舊版本并下載解壓運行新的木馬安裝程序如下圖所示:

  • 另外被感染的服務器還會從遠程服務器下載User.sh以確保創建用戶行為得以執行如下圖所示:

  • 從遠程服務器上下載check.sh,如下圖所示:

2.5、木馬程序包

  • 由ssh腳本下載解壓的木馬安裝程序包中分別包括32/64位的:程序部署腳本、木馬主體程序、rootkit主體程序。如下圖所示libselinux(木馬主體程序)、libselinux.a(初始化部署腳本)、libselinux.so(rootkit程序),如下圖所示:

2.5.1、libselinux.a

  • libselinux.a為程序部署腳本,其中將一個常用的rootkit的環境變量HIDE_THIS_SHELL修改為I_AM_HIDDEN。整體結構如下:

2.5.2、libselinux.so

  • libselinux.so為rootkit程序主要功能是隱藏程序組件和tcp連接的功能,整體功能如下圖所示:

  • Virustotal檢測結果如下:

  • 當對模擬字符串進行解碼時發現于Mirai相似的算法。

2.5.3、Libselinux

  • Libselinux為木馬主程序,此木馬僅包含遠程控制功能。木馬將通過環境變量’I_AM_HIDDEN’與rootkit進行通信,以序列化rootkit的木馬會話,以便在任何其他會話上應用逃避機制。

  • 通過對比發現以上組件屬于國外linux開源rootkit部分,名稱為Adore-ng,作者為stealth。

  • 如下圖為Adore-ng各版本:

  • 根據指定命令木馬執行不同的行為如下圖所示:

3、ioc

103.206.123.13

103.206.122.245

http://103.206.123.13:8080/Upgrade.sh

http://103.206.123.13:8080/User.sh

http://103.206.123.13:8080/check.sh

http://103.206.123.13:8080/system.tar.gz

http://103.206.123.13:8080/configUpdate.tar.gz

http://103.206.123.13:8080/configUpdate-32.tar.gz

e9e2e84ed423bfc8e82eb434cede5c9568ab44e7af410a85e5d5eb24b1e622e3

f321685342fa373c33eb9479176a086a1c56c90a1826a0aef3450809ffc01e5d

d66bbbccd19587e67632585d0ac944e34e4d5fa2b9f3bb3f900f517c7bbf518b

0fe1248ecab199bee383cef69f2de77d33b269ad1664127b366a4e745b1199c8

2ea291aeb0905c31716fe5e39ff111724a3c461e3029830d2bfa77c1b3656fc0

d596acc70426a16760a2b2cc78ca2cc65c5a23bb79316627c0b2e16489bf86c0

609bbf4ccc2cb0fcbe0d5891eea7d97a05a0b29431c468bf3badd83fc4414578

8e3b92e49447a67ed32b3afadbc24c51975ff22acbd0cf8090b078c0a4a7b53d

f38ab11c28e944536e00ca14954df5f4d08c1222811fef49baded5009bbbc9a2

8914fd1cfade5059e626be90f18972ec963bbed75101c7fbf4a88a6da2bc671b

4、總結

? ? 此惡意軟件針對linux系統開發且系統實現了長期駐留機制,在野過程中成功規避多種檢測。Linux下的惡意軟件日后將變的越來越復雜,目前即使常見的規避檢測方法成功率也頗高。因此應加大linux惡意軟件檢測的投入,及早的避免風險。

5、參考鏈接

?http://stealth.openwall.net/rootkits/

?https://www.intezer.com/blog-hiddenwasp-malware-targeting-linux-systems/

 

 

發表評論