一直活跃的linux下的rootkit分析

1、概述

    近期神州网云(北京)信息技术有限公司捕获到一种新型linux恶意软件。恶意程序提交到virustotal进行检测发现木马程序及rootkit程序杀毒软件检测率均为零。后国外安全机构Intezer进行分析并将此恶意软件命名为“HiddenWasp”。部分技术细节我司此次专门进行了更正与补充。

2、详细描述

2.1、综述

    HiddenWasp是一款控制远程目标的木马,其融入了Mirai、adore-ng(国外linux开源rootkit部分,名称为Adore-ng,作者为stealth)等源码。当前此款恶意软件仍然活跃。

2.2、程序流程

  • 程序流程如下所示:

2.3、Upgrade.sh脚本

  •     被感染系统首先从远程服务器下载初始脚本Upgrade.sh保存到tmp目录。Upgrade.sh下载system.tar.gz并解压出bash脚本ssh。如下图所示:

  • 经virustotal检测发现其关联有其他程序:

2.4、ssh脚本

  • ssh脚本创建新用户、下载木马安装程序、删除旧版本。如下图所示为创建新用户,用户名为sftp,密码为e@iQN*lG。

  • 删除旧版本并下载解压运行新的木马安装程序如下图所示:

  • 另外被感染的服务器还会从远程服务器下载User.sh以确保创建用户行为得以执行如下图所示:

  • 从远程服务器上下载check.sh,如下图所示:

2.5、木马程序包

  • 由ssh脚本下载解压的木马安装程序包中分别包括32/64位的:程序部署脚本、木马主体程序、rootkit主体程序。如下图所示libselinux(木马主体程序)、libselinux.a(初始化部署脚本)、libselinux.so(rootkit程序),如下图所示:

2.5.1、libselinux.a

  • libselinux.a为程序部署脚本,其中将一个常用的rootkit的环境变量HIDE_THIS_SHELL修改为I_AM_HIDDEN。整体结构如下:

2.5.2、libselinux.so

  • libselinux.so为rootkit程序主要功能是隐藏程序组件和tcp连接的功能,整体功能如下图所示:

  • Virustotal检测结果如下:

  • 当对模拟字符串进行解码时发现于Mirai相似的算法。

2.5.3、Libselinux

  • Libselinux为木马主程序,此木马仅包含远程控制功能。木马将通过环境变量’I_AM_HIDDEN’与rootkit进行通信,以序列化rootkit的木马会话,以便在任何其他会话上应用逃避机制。

  • 通过对比发现以上组件属于国外linux开源rootkit部分,名称为Adore-ng,作者为stealth。

  • 如下图为Adore-ng各版本:

  • 根据指定命令木马执行不同的行为如下图所示:

3、ioc

103.206.123.13

103.206.122.245

http://103.206.123.13:8080/Upgrade.sh

http://103.206.123.13:8080/User.sh

http://103.206.123.13:8080/check.sh

http://103.206.123.13:8080/system.tar.gz

http://103.206.123.13:8080/configUpdate.tar.gz

http://103.206.123.13:8080/configUpdate-32.tar.gz

e9e2e84ed423bfc8e82eb434cede5c9568ab44e7af410a85e5d5eb24b1e622e3

f321685342fa373c33eb9479176a086a1c56c90a1826a0aef3450809ffc01e5d

d66bbbccd19587e67632585d0ac944e34e4d5fa2b9f3bb3f900f517c7bbf518b

0fe1248ecab199bee383cef69f2de77d33b269ad1664127b366a4e745b1199c8

2ea291aeb0905c31716fe5e39ff111724a3c461e3029830d2bfa77c1b3656fc0

d596acc70426a16760a2b2cc78ca2cc65c5a23bb79316627c0b2e16489bf86c0

609bbf4ccc2cb0fcbe0d5891eea7d97a05a0b29431c468bf3badd83fc4414578

8e3b92e49447a67ed32b3afadbc24c51975ff22acbd0cf8090b078c0a4a7b53d

f38ab11c28e944536e00ca14954df5f4d08c1222811fef49baded5009bbbc9a2

8914fd1cfade5059e626be90f18972ec963bbed75101c7fbf4a88a6da2bc671b

4、总结

    此恶意软件针对linux系统开发且系统实现了长期驻留机制,在野过程中成功规避多种检测。Linux下的恶意软件日后将变的越来越复杂,目前即使常见的规避检测方法成功率也颇高。因此应加大linux恶意软件检测的投入,及早的避免风险。

5、参考链接

 http://stealth.openwall.net/rootkits/

 https://www.intezer.com/blog-hiddenwasp-malware-targeting-linux-systems/

 

 

发表评论