- Регистрация
- 17.01.14
- Сообщения
- 5,433
- Реакции
- 23,915
- Баллы
- 5,665
- Депозит
- 100 RUB
- Услуги Гаранта
- 4
Вредонос .IptabLex & .IptabLes ELF DDoS malware создан криминальной группировкой China DDoSer и прекрасно себя чувствует на самых различных архитектурах на базе ОС Linux. Троян, появившийся в 2014 году, нацелен на Linux-системы с низким уровнем безопасности и распространяется через уязвимость в протоколе SSH .
Так уж сложилось, что впервые вредонос был обнаружен нашей группой (MalwareMustDie) в мае 2014 года и получил имя Linux .Iptablesx|s. На эту тему 15-го июня 2014 года мы выпустили специальную заметку
В 2014 году троян .IptableS|X поучаствовал в огромном количестве DDoS-атак и в сентябре 2014 года был удостоен вниманием таких уважаемых организаций как Prolexic (
До октября 2014 года вредонос .IptableS / .IptablesX все еще погуливал в дикой природе, но с ноября был вытеснен другими экземплярами троянов от китайских производителей, которые мы также успешно отлавливали. В январе 2015 года мы полагали, что развитие популяции .IptabLes|x полностью прекратилось.
Однако 27-го июня 2015 года мой друг @TinkerSec через твиттер рассказал мне о своем подозрении на появление заразы Linux/ChinaZ, после чего состоялась наша
Затем член нашей команды обнаружил полезную нагрузку, очень похожую на ранее обнародованные образцы и распространяемую посредством уязвимости shellshock. Я копнул немного поглубже и с удивлением обнаружил, что имею дело с вариацией вредоноса Linux IptableS /.IptablesX. Несколько раз перепроверив свои догадки и разобравшись, почему вначале мне показалось, что я имею дело с вредоносом Linux/ChinaZ, я написал заметку о возобновлении угрозы 2014 года, связанной с DDoS атаками вредоноса IptableS|X. Детали ниже.
Shellshock, ChinaZ, .IptabLes|x и BillGates
В этом отчете не будет подробного технического анализа образцов вредоноса, поскольку я уже делал это раньше (образцы опубликованы на
В разное время я получил два независимых отчета о двух случаях атаки при помощи уязвимости shellshock. Еще раз спасибо @tinkersec и @benkow.
Для более удобного восприятия немного причешем код (мы же не какие-то жулики, а вполне приличные люди). В командах, приведенных выше, есть довольно много знакомых признаков:
В коде указан IP-адрес злоумышленников. В обоих случаях атаки осуществлялись с IP-адреса 58.213.123.107. Сама структура кода довольно типична, когда через User-agent() выполняются команды bash, а прямые GET-команды содержат строки, используемые при эксплуатации уязвимости shellshock. Кроме того, из кода видно, что нехорошие ребята из ChinaZ, кажется, пытаются впарить нам свою полезную нагрузку.
Идем дальше. Обе атаки произошли на разных континентах и в разное время (26-го июня и 30-го июня) у двух незнакомых друг с другом людей, однако используемая полезная нагрузка в формате ELF была идентичной.
Довольно странно то, что в течение 3 дней полезная нагрузка сохраняла ту же самую контрольную сумму, поскольку в распоряжении создателей вредоноса Linux/ChinaZ находятся исходные тексты и инструменты для сборки.
А теперь посмотрите, что еще я нашел в том образце полезной нагрузки:
На рисунке выше показаны сигнатуры вредоноса Linux/.IptableS|X. В исходном коде вредоноса ChinaZ отсутствуют интерактивные команды остановки и перезагрузки IptabLes|x. Смотрите, как кодер пытается сокрыть эти команды внутри настоящей связки команд для остановки сервиса iptables (обратите внимание на разные символы в конце). Это вполне согласуется с наличием команды closefirewall(), предназначенной для остановки службы iptables на компьютере жертвы, чтобы потом можно было заразить систему вредоносом IptabLes|x:
Наконец-то многое прояснилось.
Но почему злоумышленники так поступили? Почему используется IptabLes|x? Возможны две версии. Либо ребята из ChinaZ начали активно распространять свою первоначальную полезную нагрузку (потому что мы провели глубокий реверс-инжиниринг и опубликовали результаты), либо кто-то пытается от имени ChinaZ распространять вредонос IptablesS|X.
Ну, хорошо. Давайте копнем чуть глубже и исследуем панель, используемую в качестве источника заражения.
На IP-адресе 202.103.243.104 висит китайская версия модифицированного веб-сервера HFS (хороший и легитимный веб-сервер, который я постоянно использую в своей работе). На сервере хранятся 32- и 64-х битные версии вредоноса Iptables|X, а также вредонос Linux/BillGates ELF DDoS. Обратите внимание на огромное количество (более 4000) загрузок 32-х битной версии, что говорит об эффективности распространения заразы при помощи уязвимости shellshock.
На IP-адресе злоумышленника висит бот, пытающийся заразить все возможные сервера на базе ОС Linux. Ниже представлена информация об IP-адресе:
58.213.123.107||4134 | 58.208.0.0/12 | CHINANET | CN | chinatelecom.com.cn
ChinaNet Jiangsu Province Network
{
"ip": "58.213.123.107",
"hostname": "No Hostname",
"city": "Nanjing",
"region": "Jiangsu",
"country": "CN",
"loc": "32.0617,118.7778",
"org": "AS4134 No.31,Jin-rong Street"
}
Необходимо в кратчайшие сроки остановить атаки с этого IP-адреса.
Информация об IP-адресе, на котором находятся полезные нагрузки:
202.103.243.104||4134 | 202.103.192.0/18 | CHINANET | CN | chinatelecom.com.cn
ChinaNet Guangxi Province Network
{
"ip": "202.103.243.104",
"hostname": "bbs.gliet.edu.cn",
"city": "Guilin",
"region": "Guangxi",
"country": "CN",
"loc": "25.2819,110.2864",
"org": "AS4134 No.31,Jin-rong Street"
}
Оба IP-адреса принадлежат одной и той же организации (AS4134 No.31,Jin-rong Street).
Ниже показан домен, на котором висит панель. Это может быть взломанный сервер какого-то образовательного учреждения, либо просто взломанный домен.
Анализ вредоноса
Проделанный мной ранее
"domain: v8.f1122.org
IP: 61.160.212.172
port 1122 "
Информация о сервере получена в ходе исследования вредоноса:
Детальная информация о домене и IP-адресе управляющего сервера
Информация об IP-адресе:
61.160.212.172| - |23650 | 61.160.212.0/24 | CHINANET-JS-AS | CN | chinatelecom.com.cn
ChinaNet Jiangsu Province Network
{
"ip": "61.160.212.172",
"hostname": "v8.f1122.org",
"city": "Nanjing",
"region": "Jiangsu",
"country": "CN",
"loc": "32.0617,118.7778",
"org": "AS23650 AS Number for CHINANET jiangsu province backbone"
}
Информация о регистрации домена (похоже, что на данный момент домен заблокирован):
"Domain Name:F1122.ORG
Domain ID: D174941520-LROR
Creation Date: 2015-01-03T06:46:16Z
Updated Date: 2015-03-05T03:45:24Z
Registry Expiry Date: 2016-01-03T06:46:16Z
Sponsoring Registrar:GoDaddy.com, LLC (R91-LROR)"
Sponsoring Registrar IANA ID: 146
WHOIS Server:
Referral URL:
Domain Status: clientDeleteProhibited --
Domain Status: clientRenewProhibited --
Domain Status: clientTransferProhibited --
Domain Status: clientUpdateProhibited --
Registrant "ID:CR184376377"
Registrant "Name:xihuang li"
Registrant Organization:
Registrant "Street: shanxishengdatongshibeijie23hao"
Registrant "City:shanxishengdatongshi"
Registrant "State/Province:shanxisheng"
Registrant Postal Code:037000
Registrant Country:CN
Registrant "Phone:+86.3522036283"
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant "Email:[email protected]"
Электронная почта [email protected] связана с именем Xihuang Li и пятью другими именами. Общее количество найденных доменов – 1382, большинство из которых зарегистрированы в GoDaddy и ENOM. Ниже показана информация о 20 первых доменах.
Вредонос Linux/BillGates ничем не отличается от остальных (можете посмотреть
Domain: udp.f1122.org
IP: 61.160.213.18
Port: 25001
Обратный вызов к управляющему серверу для загрузки конфигурационного файла:
socket(PF_INET, SOCK_STREAM, IPPROTO_IP
sendto(5, "W\204\1\0\0\1\0\0\0\0\0\0\3udp\5f1122\3org\0\0\1\0\1",
31, 0, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("DNS")}, 16)
recvfrom(5, "W\204\201\200\0\1\0\1\0\2\0\n\3udp\5f1122\3org\0\0\1\0\1\300"...,
1024, 0, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("DNS")}, [16])
connect(4, {sa_family=AF_INET, sin_port=htons(25001), sin_addr=inet_addr("61.160.213.18")}, 16)
open("/XXXX/conf.n", O_RDWR|O_CREAT, 0644)
write(5, "\0\364\1\0\0002\0\0\0\350\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\2\0\0\0"..., 69)
close(5)
Факт установления соединения вредоноса и управляющего сервера:
$ date
Wed Jul 1 15:25:44 JST 2015
(snips)
28443 28453 txt REG 8,6 1223123 1048605 /sudp
28443 28453 0u CHR 1,3 0t0 1192 /dev/null
28443 28453 1u CHR 1,3 0t0 1192 /dev/null
28443 28453 2u CHR 1,3 0t0 1192 /dev/null
28443 28453 3uW REG 8,1 5 261598 /tmp/gates.lod
28443 28453 4u "IPv4 127246603 0t0 TCP
MMD:32977->61.160.213.18:25001 (ESTABLISHED)"
Информация о DNS для IP-адреса, указанного выше:
;; QUESTION SECTION:
;udp.f1122.org. IN A
;; ANSWER SECTION:
udp.f1122.org. 600 IN A 61.160.213.18
;; AUTHORITY SECTION:
f1122.org. 600 IN NS f1g1ns1.dnspod.net.
f1122.org. 600 IN NS f1g1ns2.dnspod.net.
;; ADDITIONAL SECTION:
f1g1ns1.dnspod.net. 350 IN A 113.108.80.138
f1g1ns1.dnspod.net. 350 IN A 125.39.208.193
f1g1ns1.dnspod.net. 350 IN A 180.153.9.189
f1g1ns1.dnspod.net. 350 IN A 182.140.167.166
f1g1ns1.dnspod.net. 350 IN A 111.30.132.180
f1g1ns2.dnspod.net. 1015 IN A 115.236.137.40
f1g1ns2.dnspod.net. 1015 IN A 115.236.151.191
f1g1ns2.dnspod.net. 1015 IN A 182.140.167.188
f1g1ns2.dnspod.net. 1015 IN A 101.226.30.224
f1g1ns2.dnspod.net. 1015 IN A 112.90.82.194
Информация об IP-адресе:
61.160.213.18| - |23650 | 61.160.213.0/24 | CHINANET-JS-AS | CN | chinatelecom.com.cn
ChinaNet Jiangsu Province Network
{
"ip": "61.160.213.18",
"hostname": "udp.f1122.org",
"city": "Nanjing",
"region": "Jiangsu",
"country": "CN",
"loc": "32.0617,118.7778",
"org": "AS23650 AS Number for CHINANET jiangsu province backbone"
}
Как и предполагалось, вредонос Linux/BillGates использует тот же самый домен (f1122.org), а IP-адрес находится в той же самой сети, что и управляющий сервер вредоноса IptableS|X. Очевидно, что обоими серверами управляют одни и те же лица. После того как я подсоединился к серверу, соединение тут же было закрыто.
В предыдущем
Доказательства того, что сервер 58.221.254.153 принадлежит ChinaZ
Наша команда также нашла подтверждение тому, что IP-адрес 58.221.254.153 связан с вредоносом ChinaZ. Там хранится сборщик ChinaZ (win-приложение), в котором содержится код ChinaZ и код управляющего сервера для ChinaZ.
Доказательство #1: сборщик ChinaZ: --> [
Если запустить сборщик, во вложенных папках начнется поиск бинарных шаблонов под формат ELF (x32 / x64), либо win (x32). Затем появится диалоговое окно с возможностью сборки пакета под нужный IP-адрес. Номер порта фиксированный (29136). В шаблонах используется шифрование, что не позволяет изменить номер порта. Именно поэтому мы понимаем, что злоумышленник – не программист, а простой исполнитель.
Анализ кода показал, что сборщик работает и не вредит системе. Из-за загруженности на работе я не стал сильно углубляться в детали. Ниже показаны пути, где сборщик ищет шаблоны для компиляции вредоноса. Если путь не найдется, сборщик работать не будет.
Доказательство #2: внутри шаблона используется код ChinaZ: -->[
Я взял шаблон (ELF x32) «\\Arch32\\DDosClientTemp32», чтобы проверить, присутствует ли там код ChinaZ. В прошлой статье о ChinaZ был выявлен аккаунт на GitHub, который использовался для разработки вредоноса. Наш друг @benkow посоветовал посмотреть соответствия в исходниках и в бинарном файле полезной нагрузки. Ниже показаны некоторые функции и переменные, используемые вредоносом:
Некоторые участки исходного кода полностью совпадают со строками в бинарном файле
Доказательство #3: управляющий сервер для ChinaZ -->[
В том же архиве был найден софт и лог управляющего сервера:
После запуска исполняемого файла сервер будет ожидать подключения вредоносов на определенном порту:
После всех доказательств, приведенных выше, не остается сомнений, что хост 58.221.254.153, при помощи которого заражаются Linux-системы через уязвимость shellshock, имеет прямое отношение людям, использующим ChinaZ. Соответственно, вся информация, имеющая отношение к IP-адресам и серверам, имеет прямое отношение к злоумышленникам.
Образцы полезных нагрузок и результаты сканирования в Virus Total
Ниже показаны различные версии полезных нагрузок и результаты сканирования в сервисе Virus Total:
1122.32.ELF.IptableX.DDoS
1122.64.ELF.IptableX.DDoS
sudp.Elf.BillGates.DDoS
Так уж сложилось, что впервые вредонос был обнаружен нашей группой (MalwareMustDie) в мае 2014 года и получил имя Linux .Iptablesx|s. На эту тему 15-го июня 2014 года мы выпустили специальную заметку
You must be registered for see links
. Поскольку в то время инфекция распространялась настолько быстро, а информации было настолько мало, что 4-го сентября 2014 года нами был создан специальный
You must be registered for see links
, где выкладывались образцы вредоносов и другие полезные сведения, чтобы сдержать скорость распространения и повысить осведомленность индустрии.В 2014 году троян .IptableS|X поучаствовал в огромном количестве DDoS-атак и в сентябре 2014 года был удостоен вниманием таких уважаемых организаций как Prolexic (
You must be registered for see links
) и Akamai (
You must be registered for see links
). Последняя ссылалась на бюллетень, выпущенный компанией Prolexic.До октября 2014 года вредонос .IptableS / .IptablesX все еще погуливал в дикой природе, но с ноября был вытеснен другими экземплярами троянов от китайских производителей, которые мы также успешно отлавливали. В январе 2015 года мы полагали, что развитие популяции .IptabLes|x полностью прекратилось.
Однако 27-го июня 2015 года мой друг @TinkerSec через твиттер рассказал мне о своем подозрении на появление заразы Linux/ChinaZ, после чего состоялась наша
You must be registered for see links
.Затем член нашей команды обнаружил полезную нагрузку, очень похожую на ранее обнародованные образцы и распространяемую посредством уязвимости shellshock. Я копнул немного поглубже и с удивлением обнаружил, что имею дело с вариацией вредоноса Linux IptableS /.IptablesX. Несколько раз перепроверив свои догадки и разобравшись, почему вначале мне показалось, что я имею дело с вредоносом Linux/ChinaZ, я написал заметку о возобновлении угрозы 2014 года, связанной с DDoS атаками вредоноса IptableS|X. Детали ниже.
Shellshock, ChinaZ, .IptabLes|x и BillGates
В этом отчете не будет подробного технического анализа образцов вредоноса, поскольку я уже делал это раньше (образцы опубликованы на
You must be registered for see links
и VirusTotal). Я расскажу о схеме заражения, чтобы прояснить, в чем конкретно заключается угроза. Кроме того, я приведу некоторую информацию, которая может помочь правоохранительным органам добраться до злоумышленников, стоящих за этими атаками.В разное время я получил два независимых отчета о двух случаях атаки при помощи уязвимости shellshock. Еще раз спасибо @tinkersec и @benkow.
Рисунок 1: Две попытки атаки через уязвимость shellshock
Для более удобного восприятия немного причешем код (мы же не какие-то жулики, а вполне приличные люди). В командах, приведенных выше, есть довольно много знакомых признаков:
You must be registered for see links
Рисунок 2: Структурированная версия инфицированной команды
В коде указан IP-адрес злоумышленников. В обоих случаях атаки осуществлялись с IP-адреса 58.213.123.107. Сама структура кода довольно типична, когда через User-agent() выполняются команды bash, а прямые GET-команды содержат строки, используемые при эксплуатации уязвимости shellshock. Кроме того, из кода видно, что нехорошие ребята из ChinaZ, кажется, пытаются впарить нам свою полезную нагрузку.
Идем дальше. Обе атаки произошли на разных континентах и в разное время (26-го июня и 30-го июня) у двух незнакомых друг с другом людей, однако используемая полезная нагрузка в формате ELF была идентичной.
Рисунок 3: Контрольные суммы полезных нагрузок
Довольно странно то, что в течение 3 дней полезная нагрузка сохраняла ту же самую контрольную сумму, поскольку в распоряжении создателей вредоноса Linux/ChinaZ находятся исходные тексты и инструменты для сборки.
А теперь посмотрите, что еще я нашел в том образце полезной нагрузки:
You must be registered for see links
Рисунок 4: Сигнатуры вредоноса Linux/.IptableS|X
На рисунке выше показаны сигнатуры вредоноса Linux/.IptableS|X. В исходном коде вредоноса ChinaZ отсутствуют интерактивные команды остановки и перезагрузки IptabLes|x. Смотрите, как кодер пытается сокрыть эти команды внутри настоящей связки команд для остановки сервиса iptables (обратите внимание на разные символы в конце). Это вполне согласуется с наличием команды closefirewall(), предназначенной для остановки службы iptables на компьютере жертвы, чтобы потом можно было заразить систему вредоносом IptabLes|x:
You must be registered for see links
Рисунок 5: Содержимое команды closefirewall()
Наконец-то многое прояснилось.
Но почему злоумышленники так поступили? Почему используется IptabLes|x? Возможны две версии. Либо ребята из ChinaZ начали активно распространять свою первоначальную полезную нагрузку (потому что мы провели глубокий реверс-инжиниринг и опубликовали результаты), либо кто-то пытается от имени ChinaZ распространять вредонос IptablesS|X.
Ну, хорошо. Давайте копнем чуть глубже и исследуем панель, используемую в качестве источника заражения.
Рисунок 6: Место хранения полезных нагрузок
На IP-адресе 202.103.243.104 висит китайская версия модифицированного веб-сервера HFS (хороший и легитимный веб-сервер, который я постоянно использую в своей работе). На сервере хранятся 32- и 64-х битные версии вредоноса Iptables|X, а также вредонос Linux/BillGates ELF DDoS. Обратите внимание на огромное количество (более 4000) загрузок 32-х битной версии, что говорит об эффективности распространения заразы при помощи уязвимости shellshock.
На IP-адресе злоумышленника висит бот, пытающийся заразить все возможные сервера на базе ОС Linux. Ниже представлена информация об IP-адресе:
58.213.123.107||4134 | 58.208.0.0/12 | CHINANET | CN | chinatelecom.com.cn
ChinaNet Jiangsu Province Network
{
"ip": "58.213.123.107",
"hostname": "No Hostname",
"city": "Nanjing",
"region": "Jiangsu",
"country": "CN",
"loc": "32.0617,118.7778",
"org": "AS4134 No.31,Jin-rong Street"
}
Необходимо в кратчайшие сроки остановить атаки с этого IP-адреса.
Информация об IP-адресе, на котором находятся полезные нагрузки:
202.103.243.104||4134 | 202.103.192.0/18 | CHINANET | CN | chinatelecom.com.cn
ChinaNet Guangxi Province Network
{
"ip": "202.103.243.104",
"hostname": "bbs.gliet.edu.cn",
"city": "Guilin",
"region": "Guangxi",
"country": "CN",
"loc": "25.2819,110.2864",
"org": "AS4134 No.31,Jin-rong Street"
}
Оба IP-адреса принадлежат одной и той же организации (AS4134 No.31,Jin-rong Street).
Ниже показан домен, на котором висит панель. Это может быть взломанный сервер какого-то образовательного учреждения, либо просто взломанный домен.
Рисунок 7: Домен, на котором висит панель с полезными нагрузками
Анализ вредоноса
Проделанный мной ранее
You must be registered for see links
во время беседы с @TinkerSec в твиттере полностью корректен, и больше мне добавить нечего. Приведу лишь информацию об управляющем сервере:"domain: v8.f1122.org
IP: 61.160.212.172
port 1122 "
Информация о сервере получена в ходе исследования вредоноса:
You must be registered for see links
Рисунок 8: Информация об управляющем сервере
Детальная информация о домене и IP-адресе управляющего сервера
Информация об IP-адресе:
61.160.212.172| - |23650 | 61.160.212.0/24 | CHINANET-JS-AS | CN | chinatelecom.com.cn
ChinaNet Jiangsu Province Network
{
"ip": "61.160.212.172",
"hostname": "v8.f1122.org",
"city": "Nanjing",
"region": "Jiangsu",
"country": "CN",
"loc": "32.0617,118.7778",
"org": "AS23650 AS Number for CHINANET jiangsu province backbone"
}
Информация о регистрации домена (похоже, что на данный момент домен заблокирован):
"Domain Name:F1122.ORG
Domain ID: D174941520-LROR
Creation Date: 2015-01-03T06:46:16Z
Updated Date: 2015-03-05T03:45:24Z
Registry Expiry Date: 2016-01-03T06:46:16Z
Sponsoring Registrar:GoDaddy.com, LLC (R91-LROR)"
Sponsoring Registrar IANA ID: 146
WHOIS Server:
Referral URL:
Domain Status: clientDeleteProhibited --
You must be registered for see links
Domain Status: clientRenewProhibited --
You must be registered for see links
Domain Status: clientTransferProhibited --
You must be registered for see links
Domain Status: clientUpdateProhibited --
You must be registered for see links
Registrant "ID:CR184376377"
Registrant "Name:xihuang li"
Registrant Organization:
Registrant "Street: shanxishengdatongshibeijie23hao"
Registrant "City:shanxishengdatongshi"
Registrant "State/Province:shanxisheng"
Registrant Postal Code:037000
Registrant Country:CN
Registrant "Phone:+86.3522036283"
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant "Email:[email protected]"
Электронная почта [email protected] связана с именем Xihuang Li и пятью другими именами. Общее количество найденных доменов – 1382, большинство из которых зарегистрированы в GoDaddy и ENOM. Ниже показана информация о 20 первых доменах.
Рисунок 9: Информация о некоторых доменах, используемых злоумышленниками
Вредонос Linux/BillGates ничем не отличается от остальных (можете посмотреть
You must be registered for see links
по этой теме). Ниже показана информация об управляющем сервере:Domain: udp.f1122.org
IP: 61.160.213.18
Port: 25001
Обратный вызов к управляющему серверу для загрузки конфигурационного файла:
socket(PF_INET, SOCK_STREAM, IPPROTO_IP
sendto(5, "W\204\1\0\0\1\0\0\0\0\0\0\3udp\5f1122\3org\0\0\1\0\1",
31, 0, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("DNS")}, 16)
recvfrom(5, "W\204\201\200\0\1\0\1\0\2\0\n\3udp\5f1122\3org\0\0\1\0\1\300"...,
1024, 0, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("DNS")}, [16])
connect(4, {sa_family=AF_INET, sin_port=htons(25001), sin_addr=inet_addr("61.160.213.18")}, 16)
open("/XXXX/conf.n", O_RDWR|O_CREAT, 0644)
write(5, "\0\364\1\0\0002\0\0\0\350\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\2\0\0\0"..., 69)
close(5)
Факт установления соединения вредоноса и управляющего сервера:
$ date
Wed Jul 1 15:25:44 JST 2015
(snips)
28443 28453 txt REG 8,6 1223123 1048605 /sudp
28443 28453 0u CHR 1,3 0t0 1192 /dev/null
28443 28453 1u CHR 1,3 0t0 1192 /dev/null
28443 28453 2u CHR 1,3 0t0 1192 /dev/null
28443 28453 3uW REG 8,1 5 261598 /tmp/gates.lod
28443 28453 4u "IPv4 127246603 0t0 TCP
MMD:32977->61.160.213.18:25001 (ESTABLISHED)"
Информация о DNS для IP-адреса, указанного выше:
;; QUESTION SECTION:
;udp.f1122.org. IN A
;; ANSWER SECTION:
udp.f1122.org. 600 IN A 61.160.213.18
;; AUTHORITY SECTION:
f1122.org. 600 IN NS f1g1ns1.dnspod.net.
f1122.org. 600 IN NS f1g1ns2.dnspod.net.
;; ADDITIONAL SECTION:
f1g1ns1.dnspod.net. 350 IN A 113.108.80.138
f1g1ns1.dnspod.net. 350 IN A 125.39.208.193
f1g1ns1.dnspod.net. 350 IN A 180.153.9.189
f1g1ns1.dnspod.net. 350 IN A 182.140.167.166
f1g1ns1.dnspod.net. 350 IN A 111.30.132.180
f1g1ns2.dnspod.net. 1015 IN A 115.236.137.40
f1g1ns2.dnspod.net. 1015 IN A 115.236.151.191
f1g1ns2.dnspod.net. 1015 IN A 182.140.167.188
f1g1ns2.dnspod.net. 1015 IN A 101.226.30.224
f1g1ns2.dnspod.net. 1015 IN A 112.90.82.194
Информация об IP-адресе:
61.160.213.18| - |23650 | 61.160.213.0/24 | CHINANET-JS-AS | CN | chinatelecom.com.cn
ChinaNet Jiangsu Province Network
{
"ip": "61.160.213.18",
"hostname": "udp.f1122.org",
"city": "Nanjing",
"region": "Jiangsu",
"country": "CN",
"loc": "32.0617,118.7778",
"org": "AS23650 AS Number for CHINANET jiangsu province backbone"
}
Как и предполагалось, вредонос Linux/BillGates использует тот же самый домен (f1122.org), а IP-адрес находится в той же самой сети, что и управляющий сервер вредоноса IptableS|X. Очевидно, что обоими серверами управляют одни и те же лица. После того как я подсоединился к серверу, соединение тут же было закрыто.
В предыдущем
You must be registered for see links
о вредоносе ChinaZ мы выяснили, что управляющий сервер был зарегистрирован на электронную почту [email protected]. В этот раз использовался адрес
You must be registered for see links
. Я уверен, что за обоими вредоносами стоят одни и те же люди. Мы связались с администратором домена 163.com, но полученная информация будет сообщена только правоохранительным органам.Доказательства того, что сервер 58.221.254.153 принадлежит ChinaZ
Наша команда также нашла подтверждение тому, что IP-адрес 58.221.254.153 связан с вредоносом ChinaZ. Там хранится сборщик ChinaZ (win-приложение), в котором содержится код ChinaZ и код управляющего сервера для ChinaZ.
Доказательство #1: сборщик ChinaZ: --> [
You must be registered for see links
]Рисунок 10: Содержимое архива сборщика
Если запустить сборщик, во вложенных папках начнется поиск бинарных шаблонов под формат ELF (x32 / x64), либо win (x32). Затем появится диалоговое окно с возможностью сборки пакета под нужный IP-адрес. Номер порта фиксированный (29136). В шаблонах используется шифрование, что не позволяет изменить номер порта. Именно поэтому мы понимаем, что злоумышленник – не программист, а простой исполнитель.
Рисунок 11: Диалоговое окно сборщика
Анализ кода показал, что сборщик работает и не вредит системе. Из-за загруженности на работе я не стал сильно углубляться в детали. Ниже показаны пути, где сборщик ищет шаблоны для компиляции вредоноса. Если путь не найдется, сборщик работать не будет.
You must be registered for see links
Рисунок 12: Пути, где сборщик ищет шаблоны
Доказательство #2: внутри шаблона используется код ChinaZ: -->[
You must be registered for see links
] и [
You must be registered for see links
]Я взял шаблон (ELF x32) «\\Arch32\\DDosClientTemp32», чтобы проверить, присутствует ли там код ChinaZ. В прошлой статье о ChinaZ был выявлен аккаунт на GitHub, который использовался для разработки вредоноса. Наш друг @benkow посоветовал посмотреть соответствия в исходниках и в бинарном файле полезной нагрузки. Ниже показаны некоторые функции и переменные, используемые вредоносом:
You must be registered for see links
Рисунок 13: Часть исходного кода вредоноса ChinaZ
Некоторые участки исходного кода полностью совпадают со строками в бинарном файле
You must be registered for see links
You must be registered for see links
Рисунок 14: Часть строк в бинарном шаблоне совпадает с исходным кодом ChinaZ
Доказательство #3: управляющий сервер для ChinaZ -->[
You must be registered for see links
]В том же архиве был найден софт и лог управляющего сервера:
You must be registered for see links
Рисунок 15: Перечень файлов, имеющих отношение к управляющему серверу
После запуска исполняемого файла сервер будет ожидать подключения вредоносов на определенном порту:
You must be registered for see links
Рисунок 16: Интерфейс управляющего сервера
После всех доказательств, приведенных выше, не остается сомнений, что хост 58.221.254.153, при помощи которого заражаются Linux-системы через уязвимость shellshock, имеет прямое отношение людям, использующим ChinaZ. Соответственно, вся информация, имеющая отношение к IP-адресам и серверам, имеет прямое отношение к злоумышленникам.
Образцы полезных нагрузок и результаты сканирования в Virus Total
Ниже показаны различные версии полезных нагрузок и результаты сканирования в сервисе Virus Total:
1122.32.ELF.IptableX.DDoS
You must be registered for see links
1122.64.ELF.IptableX.DDoS
You must be registered for see links
sudp.Elf.BillGates.DDoS
You must be registered for see links