Linux.BackDoor.MrBlack Attack And Defense Analysis

catalogue

1. 恶意程序概述
2. 模块分解
3. 通信协议
4. 木马清理

1. 恶意程序概述

0x1: 支持攻击方式

1. DNS_Flood
2. SYN_Flood
3. UDP_Flood
4. UDPS_Flood
5. TCP_Flood(访问指定ip)
6. CC_Flood(访问指定url)
7. CC2_Flood
8. CC3_Flood
..

0x2: 客户端支持架构

1. EM_386
2. EM_x86_64
3. EM_MIPS
4. EM_ARM
5. PE x86
//Written mostly in C/C++
//Debug info often not stripped

0x3: 持久存活能力

1. Killing competing resource consuming processes
2. 注册为服务、自启动
    1) /etc/init.d/: startup scripts copied here
    2) /etc/cron.<S>: <S> from { hourly, daily, weekly, monthly }
    3) A service can be added to /etc/crontab
    4) /etc/rc<N>.d/: Symbolic links to startup scripts,<N> is a runlevel indicator (Halt 0; Single-user 1; Multi-user2-5; Reboot 6)
    5) Alternatively, path can be added to /etc/rc.local

0x4: 反调试能力

1. In plain form or packed with UPX
2. UPX sometimes modified to avoid unpacking by the original UPX tool
    1) Modified magic value
    2) Checksums do not match

0x5:  Trojan客户端程序分发

1. build ELF malware using a customized builder
    1) 上线域名、上线端口可配置化
    2) 通信密钥可配置化

2. start Http File Server(HFS), which will be hosting the previously built malicious binaries
    1) 架设HSF Server用于提供恶意程序的下载

Relevant Link:

https://www.botconf.eu/wp-content/uploads/2014/12/2014-2.10-Chinese-Chicken-Multiplatform-DDoS-Botnets.pdf
https://www.virusbulletin.com/uploads/pdf/conference_slides/2015/KalnaiHorejsi-VB2015.pdf
http://www.digitaltrends.com/computing/mrblack-malware-botnet/
http://blog.malwaremustdie.org/2015/09/mmd-0042-2015-hunting-mr-black-ids-via.html
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3483
https://www.threatcrowd.org/malware.php?md5=08efb1ffc680abc242f40a0ad72906ba
https://www.virustotal.com/en/file/7b5c0ef6d9d38466dedea7ae07b363d5849580f6d0615cf47804f942d1d2034a/analysis/

2. 模块分解
3. 通信协议

def dataReceived(self, data):
        print "Server said:", data.encode(‘hex‘)
        dataLen = len(data)
        if dataLen == 1:                                 #HEART
            print "HEART"
        elif dataLen > 500 and data[0] == ‘\x06‘:       #DDOS
            ipList = self.extractIPS(data, data[0x108])
            if data[0x108] == ‘\x01‘:
                attackType = ‘TCP SYN‘
            elif data[0x108] == ‘\x02‘:
                attackType = ‘UDP‘
            elif data[0x108] == ‘\x03‘:
                attackType = ‘ICMP‘
            elif data[0x108] == ‘\x04‘:
                attackType = ‘DNS‘
            elif data[0x108] == ‘\x05‘:
                attackType = ‘CC‘
        #save attack info
        for ip in ipList:
            target_ip = socket.inet_ntoa(struct.pack(‘I‘,socket.htonl(ip[0]))[::-1])
            target_url = ""
            target_port = str(ip[1])
            target_attack_type = attackType
            print {target_ip, target_url, target_port, target_attack_type}
            eventReporter.saveAttackEvent(server=self.server, cmd=‘DDOS‘, cmd_desc=target_attack_type, victim_ip=target_ip, victim_port=target_port,victim_url=target_url)

4. 木马清理
Copyright (c) 2016 LittleHann All rights reserved

时间: 2024-10-10 08:32:52

Linux.BackDoor.MrBlack Attack And Defense Analysis的相关文章

Linux MTD (Memory Technology Device) subsystem analysis -For Atheros char device

Linux MTD (Memory Technology Device) subsystem analysis For Atheros char device 读了Linux MTD 源代码分析 对这部分有了整体的认识,结合现有代码,分析一下Atheros的MTD是如何使用的. Linux kernel: 2.6.31. Atheros platform: QCA9890??? 参考Linux MTD 源代码分析,这里把MTD分为4层,从上到下依次是:字符设备节点.字符设备.MTD 核心.FLA

记一次linux系统中马后的处理(RHEL6.3、木马:Linux.BackDoor.Gates.5)

中马表现症状:机器拼命向外发包,耗尽网络流量. 于是查看网络连接使用netstat -antuple(这里第一步就错了,因为木马已经替换了些系统命令,包括netstat,请原谅我年幼无知) 有个222开头来自江苏的IP已经建立了连接 这时可以临时救急,用iptables将来自和发往该IP的数据包DROP掉, iptables -I INPUT -s 222.186.30.203 -j DROP iptables -I OUTPUT -d 222.186.30.203 -j DROP 接着serv

Linux Overflow Vulnerability General Hardened Defense Technology

Catalog 1. Grsecurity/PaX 2. Hardened toolchain 3. Default addition of the Stack Smashing Protector (SSP): Compiler Flag: GS 4. Automatic generation of Position Independent Executables (PIEs): System Characteristic + Compiler Flag: ASLR 5. Default to

Linux Kernel File IO Syscall Kernel-Source-Code Analysis(undone)

目录 0. 引言 1. open() syscall 2. close() syscall 0. 引言 在linux的哲学中,所有的磁盘文件.目录.外设设备.驱动设备全部被抽象为了"文件"这个概念,所以本文提到的"File IO"适用于linux下所有的IO操作,需要明白的的,本文分析的是linux下的IO系统调用对应的内核源代码,linux下每一个系统调用都有对应的内核源代码,而我们在ring3常用的glib c的编程所有的c库API,它们只是对系统调用的一个封装

Linux Rootkit Sample &amp;&amp; Rootkit Defenser Analysis

目录 1. 引言 2. LRK5 Rootkit 3. knark Rootkit 3. Suckit(super user control kit) 4. adore-ng 5. WNPS 6. Sample Rootkit for Linux 7. suterusu 8. Rootkit Defense Tools 9. Linux Rootkit Scanner: kjackal 1. 引言 This paper attempts to analyze the characteristic

Python黑帽编程1.1虚拟机安装和配置 Kali Linux 2016

Python黑帽编程1.1虚拟机安装和配置 Kali Linux 2016 Python黑帽编程1.1虚拟机安装和配置 Kali Linux 2016 0.1  本系列教程说明 本系列教程,采用的大纲母本为<Understanding Network Hacks Attack and Defense with Python>一书,为了解决很多同学对英文书的恐惧,解决看书之后实战过程中遇到的问题而作.由于原书很多地方过于简略,笔者根据实际测试情况和最新的技术发展对内容做了大量的变更,当然最重要的

Linux AVG ANTIVIRUS FREE使用介绍

杀毒软件AVG,没有用过估计也有所耳闻.AVG ANTIVIRUS FREE - FOR LINUX 是AVG在Linux下的一款免费杀毒软件.它的官方下载地址供了rpm.deb.源码安装包等多种安装方式.下面我下载了RPM安装包安装 AVG ANTIVIRUS FREE - FOR LINUX安装步骤 [[email protected] tmp]# rpm -ivh avg2013flx-r3118-a6926.i386.rpm Preparing...                ###

一次Linux服务器被入侵和删除木马程序的经历

一.背景 晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包. 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下. 二.发现并追踪处理 1.查看流量图发现问题 查看的时候网页非常卡,有的时候甚至没有响应. 2.top动态查看进程 我马上远程

记一次Linux服务器上查杀木马经历

开篇前言 Linux服务器一直给我们的印象是安全.稳定.可靠,性能卓越.由于一来Linux本身的安全机制,Linux上的病毒.木马较少,二则由于宣称 Linux是最安全的操作系统,导致很多人对Linux的安全性有个误解:以为它永远不会感染病毒.木马:以为它没有安全漏洞.所以很多Linux服务器 都是裸奔的.其实在这次事件之前,我对Linux的安全性方面的认识.重视程度也是有所不足的.系统的安全性是相对而言的,没有绝对的安全,风险无处不 在. 案例描述 我 们在云端(中信国际电讯CPC)的一台Li