Рады видеть вас на Ghost-Club.com

Зарегистрируйтесь сейчас, чтобы то бы вступить в наш клуб. После регистрации и входа в систему вы сможете создавать темы, отвечать на существующие темы, давать репутацию другим пользователям, получить свой собственный мессенджер, размещать обновления статуса, управлять профилем и многое другое. Это сообщение будет удалено после входа в систему.

Sign in to follow this  
Ghost

Анализ вредоноса .IptabLex / .IptabLes ELF DDoS malware

Recommended Posts

Вредонос .IptabLex & .IptabLes ELF DDoS malware создан криминальной группировкой China DDoSer и прекрасно себя чувствует на самых различных архитектурах на базе ОС Linux. Троян, появившийся в 2014 году, нацелен на Linux-системы с низким уровнем безопасности и распространяется через уязвимость в протоколе SSH .

Так уж сложилось, что впервые вредонос был обнаружен нашей группой (MalwareMustDie) в мае 2014 года и получил имя Linux .Iptablesx|s. На эту тему 15-го июня 2014 года мы выпустили специальную заметку MMD-0025-2014. Поскольку в то время инфекция распространялась настолько быстро, а информации было настолько мало, что 4-го сентября 2014 года нами был создан специальный репозиторий, где выкладывались образцы вредоносов и другие полезные сведения, чтобы сдержать скорость распространения и повысить осведомленность индустрии.

В 2014 году троян .IptableS|X поучаствовал в огромном количестве DDoS-атак и в сентябре 2014 года был удостоен вниманием таких уважаемых организаций как Prolexic (ссылка) и Akamai (ссылка). Последняя ссылалась на бюллетень, выпущенный компанией Prolexic.

До октября 2014 года вредонос .IptableS / .IptablesX все еще погуливал в дикой природе, но с ноября был вытеснен другими экземплярами троянов от китайских производителей, которые мы также успешно отлавливали. В январе 2015 года мы полагали, что развитие популяции .IptabLes|x полностью прекратилось.

Однако 27-го июня 2015 года мой друг @TinkerSec через твиттер рассказал мне о своем подозрении на появление заразы Linux/ChinaZ, после чего состоялась наша душещипательная беседа и анализ находки.

Затем член нашей команды обнаружил полезную нагрузку, очень похожую на ранее обнародованные образцы и распространяемую посредством уязвимости shellshock. Я копнул немного поглубже и с удивлением обнаружил, что имею дело с вариацией вредоноса Linux IptableS /.IptablesX. Несколько раз перепроверив свои догадки и разобравшись, почему вначале мне показалось, что я имею дело с вредоносом Linux/ChinaZ, я написал заметку о возобновлении угрозы 2014 года, связанной с DDoS атаками вредоноса IptableS|X. Детали ниже.

Shellshock, ChinaZ, .IptabLes|x и BillGates

В этом отчете не будет подробного технического анализа образцов вредоноса, поскольку я уже делал это раньше (образцы опубликованы на kernelmode и VirusTotal). Я расскажу о схеме заражения, чтобы прояснить, в чем конкретно заключается угроза. Кроме того, я приведу некоторую информацию, которая может помочь правоохранительным органам добраться до злоумышленников, стоящих за этими атаками.

В разное время я получил два независимых отчета о двух случаях атаки при помощи уязвимости shellshock. Еще раз спасибо @tinkersec и @benkow.

virus-1.png

Рисунок 1: Две попытки атаки через уязвимость shellshock

Для более удобного восприятия немного причешем код (мы же не какие-то жулики, а вполне приличные люди). В командах, приведенных выше, есть довольно много знакомых признаков:

virus-2.png

Рисунок 2: Структурированная версия инфицированной команды

В коде указан IP-адрес злоумышленников. В обоих случаях атаки осуществлялись с IP-адреса 58.213.123.107. Сама структура кода довольно типична, когда через User-agent() выполняются команды bash, а прямые GET-команды содержат строки, используемые при эксплуатации уязвимости shellshock. Кроме того, из кода видно, что нехорошие ребята из ChinaZ, кажется, пытаются впарить нам свою полезную нагрузку.

Идем дальше. Обе атаки произошли на разных континентах и в разное время (26-го июня и 30-го июня) у двух незнакомых друг с другом людей, однако используемая полезная нагрузка в формате ELF была идентичной.

virus-3.png

Рисунок 3: Контрольные суммы полезных нагрузок

Довольно странно то, что в течение 3 дней полезная нагрузка сохраняла ту же самую контрольную сумму, поскольку в распоряжении создателей вредоноса Linux/ChinaZ находятся исходные тексты и инструменты для сборки.

А теперь посмотрите, что еще я нашел в том образце полезной нагрузки:

virus-4.png

Рисунок 4: Сигнатуры вредоноса Linux/.IptableS|X

На рисунке выше показаны сигнатуры вредоноса Linux/.IptableS|X. В исходном коде вредоноса ChinaZ отсутствуют интерактивные команды остановки и перезагрузки IptabLes|x. Смотрите, как кодер пытается сокрыть эти команды внутри настоящей связки команд для остановки сервиса iptables (обратите внимание на разные символы в конце). Это вполне согласуется с наличием команды closefirewall(), предназначенной для остановки службы iptables на компьютере жертвы, чтобы потом можно было заразить систему вредоносом IptabLes|x:

virus-5.png

Рисунок 5: Содержимое команды closefirewall()

Наконец-то многое прояснилось.

Но почему злоумышленники так поступили? Почему используется IptabLes|x? Возможны две версии. Либо ребята из ChinaZ начали активно распространять свою первоначальную полезную нагрузку (потому что мы провели глубокий реверс-инжиниринг и опубликовали результаты), либо кто-то пытается от имени ChinaZ распространять вредонос IptablesS|X.

Ну, хорошо. Давайте копнем чуть глубже и исследуем панель, используемую в качестве источника заражения.

virus-6.png

Рисунок 6: Место хранения полезных нагрузок

На IP-адресе 202.103.243.104 висит китайская версия модифицированного веб-сервера HFS (хороший и легитимный веб-сервер, который я постоянно использую в своей работе). На сервере хранятся 32- и 64-х битные версии вредоноса Iptables|X, а также вредонос Linux/BillGates ELF DDoS. Обратите внимание на огромное количество (более 4000) загрузок 32-х битной версии, что говорит об эффективности распространения заразы при помощи уязвимости shellshock.

На IP-адресе злоумышленника висит бот, пытающийся заразить все возможные сервера на базе ОС Linux. Ниже представлена информация об IP-адресе:

58.213.123.107||4134 | 58.208.0.0/12 | CHINANET | CN | chinatelecom.com.cn

ChinaNet Jiangsu Province Network

{

"ip": "58.213.123.107",

"hostname": "No Hostname",

"city": "Nanjing",

"region": "Jiangsu",

"country": "CN",

"loc": "32.0617,118.7778",

"org": "AS4134 No.31,Jin-rong Street"

}

Необходимо в кратчайшие сроки остановить атаки с этого IP-адреса.

Информация об IP-адресе, на котором находятся полезные нагрузки:

202.103.243.104||4134 | 202.103.192.0/18 | CHINANET | CN | chinatelecom.com.cn

ChinaNet Guangxi Province Network

{

"ip": "202.103.243.104",

"hostname": "bbs.gliet.edu.cn",

"city": "Guilin",

"region": "Guangxi",

"country": "CN",

"loc": "25.2819,110.2864",

"org": "AS4134 No.31,Jin-rong Street"

}

Оба IP-адреса принадлежат одной и той же организации (AS4134 No.31,Jin-rong Street).

Ниже показан домен, на котором висит панель. Это может быть взломанный сервер какого-то образовательного учреждения, либо просто взломанный домен.

virus-7.png

Рисунок 7: Домен, на котором висит панель с полезными нагрузками

Анализ вредоноса

Проделанный мной ранее технический анализ во время беседы с @TinkerSec в твиттере полностью корректен, и больше мне добавить нечего. Приведу лишь информацию об управляющем сервере:

"domain: v8.f1122.org

IP: 61.160.212.172

port 1122 "

Информация о сервере получена в ходе исследования вредоноса:

virus-8.png

virus-8-2.png

Рисунок 8: Информация об управляющем сервере

Детальная информация о домене и IP-адресе управляющего сервера

Информация об IP-адресе:

61.160.212.172| - |23650 | 61.160.212.0/24 | CHINANET-JS-AS | CN | chinatelecom.com.cn

ChinaNet Jiangsu Province Network

{

"ip": "61.160.212.172",

"hostname": "v8.f1122.org",

"city": "Nanjing",

"region": "Jiangsu",

"country": "CN",

"loc": "32.0617,118.7778",

"org": "AS23650 AS Number for CHINANET jiangsu province backbone"

}

Информация о регистрации домена (похоже, что на данный момент домен заблокирован):

"Domain Name:F1122.ORG

Domain ID: D174941520-LROR

Creation Date: 2015-01-03T06:46:16Z

Updated Date: 2015-03-05T03:45:24Z

Registry Expiry Date: 2016-01-03T06:46:16Z

Sponsoring Registrar:GoDaddy.com, LLC (R91-LROR)"

Sponsoring Registrar IANA ID: 146

WHOIS Server:

Referral URL:

Domain Status: clientDeleteProhibited -- http://www.icann.org/epp#clientDeleteProhibited

Domain Status: clientRenewProhibited -- http://www.icann.org/epp#clientRenewProhibited

Domain Status: clientTransferProhibited -- http://www.icann.org/epp#clientTransferProhibited

Domain Status: clientUpdateProhibited -- http://www.icann.org/epp#clientUpdateProhibited

Registrant "ID:CR184376377"

Registrant "Name:xihuang li"

Registrant Organization:

Registrant "Street: shanxishengdatongshibeijie23hao"

Registrant "City:shanxishengdatongshi"

Registrant "State/Province:shanxisheng"

Registrant Postal Code:037000

Registrant Country:CN

Registrant "Phone:+86.3522036283"

Registrant Phone Ext:

Registrant Fax:

Registrant Fax Ext:

Registrant "Email:[email protected]"

Электронная почта [email protected] связана с именем Xihuang Li и пятью другими именами. Общее количество найденных доменов – 1382, большинство из которых зарегистрированы в GoDaddy и ENOM. Ниже показана информация о 20 первых доменах.

virus-9.png

Рисунок 9: Информация о некоторых доменах, используемых злоумышленниками

Вредонос Linux/BillGates ничем не отличается от остальных (можете посмотреть другие наши статьи по этой теме). Ниже показана информация об управляющем сервере:

Domain: udp.f1122.org

IP: 61.160.213.18

Port: 25001

Обратный вызов к управляющему серверу для загрузки конфигурационного файла:

socket(PF_INET, SOCK_STREAM, IPPROTO_IP

sendto(5, "W\204\1\0\0\1\0\0\0\0\0\0\3udp\5f1122\3org\0\0\1\0\1",

31, 0, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("DNS")}, 16)

recvfrom(5, "W\204\201\200\0\1\0\1\0\2\0\n\3udp\5f1122\3org\0\0\1\0\1\300"...,

1024, 0, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("DNS")}, [16])

connect(4, {sa_family=AF_INET, sin_port=htons(25001), sin_addr=inet_addr("61.160.213.18")}, 16)

open("/XXXX/conf.n", O_RDWR|O_CREAT, 0644)

write(5, "\0\364\1\0\0002\0\0\0\350\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\2\0\0\0"..., 69)

close(5)

Факт установления соединения вредоноса и управляющего сервера:

$ date

Wed Jul 1 15:25:44 JST 2015

(snips)

28443 28453 txt REG 8,6 1223123 1048605 /sudp

28443 28453 0u CHR 1,3 0t0 1192 /dev/null

28443 28453 1u CHR 1,3 0t0 1192 /dev/null

28443 28453 2u CHR 1,3 0t0 1192 /dev/null

28443 28453 3uW REG 8,1 5 261598 /tmp/gates.lod

28443 28453 4u "IPv4 127246603 0t0 TCP

MMD:32977->61.160.213.18:25001 (ESTABLISHED)"

Информация о DNS для IP-адреса, указанного выше:

;; QUESTION SECTION:

;udp.f1122.org. IN A

 

;; ANSWER SECTION:

udp.f1122.org. 600 IN A 61.160.213.18

 

;; AUTHORITY SECTION:

f1122.org. 600 IN NS f1g1ns1.dnspod.net.

f1122.org. 600 IN NS f1g1ns2.dnspod.net.

 

;; ADDITIONAL SECTION:

f1g1ns1.dnspod.net. 350 IN A 113.108.80.138

f1g1ns1.dnspod.net. 350 IN A 125.39.208.193

f1g1ns1.dnspod.net. 350 IN A 180.153.9.189

f1g1ns1.dnspod.net. 350 IN A 182.140.167.166

f1g1ns1.dnspod.net. 350 IN A 111.30.132.180

f1g1ns2.dnspod.net. 1015 IN A 115.236.137.40

f1g1ns2.dnspod.net. 1015 IN A 115.236.151.191

f1g1ns2.dnspod.net. 1015 IN A 182.140.167.188

f1g1ns2.dnspod.net. 1015 IN A 101.226.30.224

f1g1ns2.dnspod.net. 1015 IN A 112.90.82.194

Информация об IP-адресе:

61.160.213.18| - |23650 | 61.160.213.0/24 | CHINANET-JS-AS | CN | chinatelecom.com.cn

ChinaNet Jiangsu Province Network

{

"ip": "61.160.213.18",

"hostname": "udp.f1122.org",

"city": "Nanjing",

"region": "Jiangsu",

"country": "CN",

"loc": "32.0617,118.7778",

"org": "AS23650 AS Number for CHINANET jiangsu province backbone"

}

Как и предполагалось, вредонос Linux/BillGates использует тот же самый домен (f1122.org), а IP-адрес находится в той же самой сети, что и управляющий сервер вредоноса IptableS|X. Очевидно, что обоими серверами управляют одни и те же лица. После того как я подсоединился к серверу, соединение тут же было закрыто.

В предыдущем отчете о вредоносе ChinaZ мы выяснили, что управляющий сервер был зарегистрирован на электронную почту [email protected]. В этот раз использовался адрес [email protected]. Я уверен, что за обоими вредоносами стоят одни и те же люди. Мы связались с администратором домена 163.com, но полученная информация будет сообщена только правоохранительным органам.

Доказательства того, что сервер 58.221.254.153 принадлежит ChinaZ

Наша команда также нашла подтверждение тому, что IP-адрес 58.221.254.153 связан с вредоносом ChinaZ. Там хранится сборщик ChinaZ (win-приложение), в котором содержится код ChinaZ и код управляющего сервера для ChinaZ.

Доказательство #1: сборщик ChinaZ: --> [результаты сканирования Virus Total]

virus-10.png

Рисунок 10: Содержимое архива сборщика

Если запустить сборщик, во вложенных папках начнется поиск бинарных шаблонов под формат ELF (x32 / x64), либо win (x32). Затем появится диалоговое окно с возможностью сборки пакета под нужный IP-адрес. Номер порта фиксированный (29136). В шаблонах используется шифрование, что не позволяет изменить номер порта. Именно поэтому мы понимаем, что злоумышленник – не программист, а простой исполнитель.

virus-11.png

Рисунок 11: Диалоговое окно сборщика

Анализ кода показал, что сборщик работает и не вредит системе. Из-за загруженности на работе я не стал сильно углубляться в детали. Ниже показаны пути, где сборщик ищет шаблоны для компиляции вредоноса. Если путь не найдется, сборщик работать не будет.

virus-12.png

Рисунок 12: Пути, где сборщик ищет шаблоны

Доказательство #2: внутри шаблона используется код ChinaZ: -->[VT] и [VT]

Я взял шаблон (ELF x32) «\\Arch32\\DDosClientTemp32», чтобы проверить, присутствует ли там код ChinaZ. В прошлой статье о ChinaZ был выявлен аккаунт на GitHub, который использовался для разработки вредоноса. Наш друг @benkow посоветовал посмотреть соответствия в исходниках и в бинарном файле полезной нагрузки. Ниже показаны некоторые функции и переменные, используемые вредоносом:

virus-13.png

Рисунок 13: Часть исходного кода вредоноса ChinaZ

Некоторые участки исходного кода полностью совпадают со строками в бинарном файле \\Arch32\\DDosClientTemp32

virus-14.png

Рисунок 14: Часть строк в бинарном шаблоне совпадает с исходным кодом ChinaZ

Доказательство #3: управляющий сервер для ChinaZ -->[VT]

В том же архиве был найден софт и лог управляющего сервера:

virus-15.png

Рисунок 15: Перечень файлов, имеющих отношение к управляющему серверу

После запуска исполняемого файла сервер будет ожидать подключения вредоносов на определенном порту:

virus-16.png

Рисунок 16: Интерфейс управляющего сервера

После всех доказательств, приведенных выше, не остается сомнений, что хост 58.221.254.153, при помощи которого заражаются Linux-системы через уязвимость shellshock, имеет прямое отношение людям, использующим ChinaZ. Соответственно, вся информация, имеющая отношение к IP-адресам и серверам, имеет прямое отношение к злоумышленникам.

Образцы полезных нагрузок и результаты сканирования в Virus Total

Ниже показаны различные версии полезных нагрузок и результаты сканирования в сервисе Virus Total:

1122.32.ELF.IptableX.DDoS 58eefd9183ac89a1b99dda02e0ab4092

1122.64.ELF.IptableX.DDoS 8d18ddc23603726181ebb77931aa11f3

sudp.Elf.BillGates.DDoS 84d431618cbbbf56fe0cc3d34f62a655

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this