欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

一款国产Linux DDoS僵尸网络家族Jenki分析

来源:本站整理 作者:佚名 时间:2017-08-04 TAG: 我要投稿

1. 介绍
2017-07-26 22:53:52,安天- Botmon团队,通过安天蜜网系统监控到某botnet样本,经过分析确认发现新型Linux DDoS木马。该木马目前国内几乎所有杀毒厂商免杀,国外少数几个杀毒厂商仅是给出模糊的样本鉴定结果(见图-2 VT各厂商鉴定结果),经过样本详细分析,样本的解密函数名称jiemi(拼音解密)可以初步判断该样本家族属于“国产”DDoS 家族样本。与之前监控的DDoS botnet家族[2]有较大差异,因此,决定以样本原始文件名称为新家族病毒名称——Trojan[DDoS]/Linux.Jenki.A(以下简称:Jenki)。
2. 基本信息
表1-1 样本基本信息

从目前看,该样本传播是通过billgates僵尸网络进行传播扩散,建立新的DDoS僵尸网络,且并暂时没有大范围部署,所以初步判断该家族botnet的持有者很有可能是想通过新型botnet具备的免杀效果替代之前的老旧且不安全的botnet,以提高自身的安全性和隐秘性。
3. 传播方式
 

图-1 jenki传播数据

 
图-2 VT各厂商鉴定结果
 

图-3 解密函数名称
4. 样本详细分析
虽然该样本为新型的DDoS notnet 样本,但从功能和性能上来说并没有与国内常见的linux(如:Xor、Setag、Mayday、Dofloo、ChinaZ)家族存在较大的差异(Jenki暂不支持反射型攻击(dns flood除外)),也算是相对成熟的DDoS botnet家族。从目前Jenki的攻击定义看,主要包含tcp flood、udp flood、syn flood、cc flood、http flood、dns flood 6种攻击类型,从目前的攻击情报数据看,攻击者主要倾向于是用dns flood攻击为主。该样本仅是作为单纯的攻击模块,并未发现有类似于Mirai/Persirai等IoT DDoS botnet家族具有爆破或者漏洞利用的功能扫描模块。
1) 调用解密函数
将硬编码在样本的的C2密文"unn/smofhj0497,dnk"进行解密。其使用的加密算法相对简单,仅是使用凯撒位移加密。且通过原始的函数名称"jiemihttp",初步该家族应该属于"国产"DDoS botnet。
 

图-4 解密算法
2) 读取fopen("/proc/cpuinfo", "r")获取系统CPU配置信息
通过读取popen("uname -a", "r")获取系统版本信息(见图-5 系统系统配置信息)。
 

图-5 系统配置信息
3) 上线接收指令
新创建2个线程,第1个用于向C2发送首包及心跳包信息,第二个用于接收C2的各种远程指令(见图-6 创建线程新)。

图-6 创建新线程
新线程1:主要是实现获取CPU配置信息和CPU使用率还有网络配置信息,并将其作为首包内容向C2发送(见图7 向C2发送通信数据包)。

图-7 向C2发送通信数据包
新线程2:接收并执行C2的各种远程指令,其中主要是DDoS

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载