Linux平台ibus蠕虫C

作者: 公司产品  发布:2020-02-11

  近期,深信服安全团队在排查问题时,遇到一台主机不断访问恶意域名尝试与之通信,通过对问题主机的排查和域名的威胁情报分析,关联到了一个2019年新型Linux蠕虫——ibus,本文针对其C&C模块进行详细分析。

  MAIN为主函数,通过调用check_relay, 判断是否还存在指令:

  如果还有未执行的指令,就会调用Knock_Knock函数上传ID信息来获取被base64编码和异或加密的指令内容, 其指令任务内容主要分为4大类,分别为needregr、newtask、notasks以及newreconfig。奥德赛 导航模块

  功能分类 功能编号 具体功能 Needregr 上传本地信息并更新配置文件 Newtask(任务执行) 1 下载执行 3 下载并且带参数执行 6 退出 9 进行自我更新 10 卸载 11 命令执行 notasks 根据休眠时长休眠 Newreconfig 重新配置配置文件hash以及休眠时长

  目前该指令如下,通过隐藏属性隐藏。奥德赛 导航模块手动可以访问该内容,通过该脚本直接访问得到404:

  3.通过解密函数,其解密分为2个部分,首先进行base64解码,再通过异或(“#”为key)得到如下更新信息:

  4.通过查找5.196.70.86的开发端口,奥德赛 导航模块更新新的C2地址为5.2.73.127,端口更新为检测到的开放端口:

  最后为了长时间驻留,其创建了定时任务,分为了用户态以及内核态两种定时任务。

  大多数时候,都是直接在root上查看,但是有些病毒是通过web漏洞等方式进来的,所以在排查的时候,需要确认一下目前能够使用的用户有哪些,并针对每个用户进行检查,不然会出现遗漏,不能正确定位问题所在。

本文由佛山市光源模块有限公司发布于公司产品,转载请注明出处:Linux平台ibus蠕虫C

关键词: