XOR.DDoS Linux trójai


2015. február 5. 22:08

CH azonosító

CH-11985

Angol cím

trojan XOR.DDoS

Felfedezés dátuma

2014.09.28.

Súlyosság

Alacsony

Érintett rendszerek

Linux
SSH Communications Security

Érintett verziók

Linux

Összefoglaló

A XOR.DDoS trójai Linux rendszerekre próbál bejutni SSH jelszavak próbálgatásával, majd arra használja fel a fertőzött rendszert, hogy elosztott szolgáltatásmegtagadásos (DDoS) támadásban vegyen részt.

Leírás

A trójai linux rendszereket fertőz, és miután telepítődik rootkitel rejti el magát, így szinte lehetetlen észrevenni a jelenlétét.

Az XOR.DDoS támadói olyan  eszközökre vadásznak, amelyeken nem lett megváltoztatva az alapértelmezett felhasználónév, és jelszó. Ezeket az eszközöket nyers-erős támadásokkal (brute force) feltörik, majd a bejutott trójai ellenőrzi, hogy az adott rendszeren telepíthető-e rootkit.

A kártevő képes megfertőzni 32/64 bites linux web szervereket, és asztali gépeket, valamint különböző 32 bites ARM arhitektúrájú rendszereket mint pl: router NAS és egyéb IoT eszközök.

Mehanizmus:

Az első variánst szeptember 29-én észlelték.

  • 32 véletlenszerűen generált kisbetűs karaktert tárol a /var/run/mount.pid -ben
  • Másolja magát a /lib/libgcc.so helyre
  • Másolja magát a  /usr/bin/ helyre 10 véletlenszerűen generált kisbetűs karakter névvel
  • symlinket készít az alábbi helyre: /usr/bin/ majd másolja és elhelyezi a /etc/init.d/-be
  • symlinket készít az alábbi helyre: /usr/bin/   (/etc/rc[1-5].d/S90[Session ID])
  • symlinket készít az alábbi helyre: /usr/bin/  (/etc/rc.d/rc[1-5].d/S90[Session ID])
  • Scriptet időzít annak érdekében hogy bekapcsolja a hálózati interfészeket, másolja /lib/libgcc.so-et  /lib/libgcc.so.bak-ba majd futtatja
  • Az alábbi XOR kulcsot használja: BB2FA36AAA9541F0

A második verziót december 22-én észlelték

  • 32 véletlenszerűen generált kisbetűs karaktert tárol a /var/run/mount.pid -ben
  • Másolja magát a /lib/libgcc4.so helyre
  • Másolja magát a /usr/bin/ helyre egy session ID-vel megeggyező fájnévvel majd hozáfűz egy időbélyeget a binárishoz
  • symlinket készít az alábbi helyre: /usr/bin/ majd másolja és és elhelyezi a /etc/init.d/-be
  • symlinket készít az alábbi helyre: /usr/bin/ ( /etc/rc[1-5].d/S90[Session ID])
  • symlinket készít az alábbi helyre: /usr/bin/ ( /etc/rc.d/rc[1-5].d/S90[Session ID])
  • Scriptet időzít annak érdekében hogy másolja a  /lib/libgcc4.so-t a /lib/libgcc4.4.so helyre majd futtatja a /lib/libgcc4.4.so-t
  • Az alábbi két XOR kulcsot használja: BB2FA36AAA9541F0, ECB6D3479AC3823F

Fertőzés az alábbiak allenőrzésével észlehető:

Stringek:

  • BB2FA36AAA9541F0
  • ECB6D3479AC3823F

Fájlok:

  • /usr/bin/[10 véletlen karakter a-z]
  • /etc/init.d/[10 véletlen karakter a-z]
  • /usr/bin/[Session ID]
  • /etc/init.d/[Session ID]
  • /etc/rc1.d/S90[Session ID]
  • /etc/rc2.d/S90[Session ID]
  • /etc/rc3.d/S90[Session ID]
  • /etc/rc4.d/S90[Session ID]
  • /etc/rc5.d/S90[Session ID]
  • /etc/rc.d/rc1.d/S90[Session ID]
  • /etc/rc.d/rc2.d/S90[Session ID]
  • /etc/rc.d/rc3.d/S90[Session ID]
  • /etc/rc.d/rc4.d/S90[Session ID]
  • /etc/rc.d/rc5.d/S90[Session ID]
  • /var/run/sftp.pid
  • /var/run/udev.pid
  • /var/run/mount.pid
  • /etc/cron.hourly/cron.sh
  • /etc/cron.hourly/udev.sh
  • /etc/crontab
  • */3 * * * * root etc/cron.hourly/udev.sh
  • /lib/libgcc.so
  • /lib/libgcc.so.bak
  • /lib/libgcc4.so
  • /lib/libgcc4.4.so
  • /lib/udev/udev
  • /lib/udev/debug

Január 20-án egy a második változat új variánsát észlelték, azomban a binárison és néhány C&C szerveren kívül más nem változtott.

A Nemzeti Kibervédelmi Intézet az alábbiakat javasolja a trójai bejutásának megakadályozására:

  • SSH jelszavas helyett kulcs alapú autentikáció használata (PasswordAuthentication no)
  • root fiók SSH bejelentkezésének tiltása (PermitRootLogin without-password)
  • SSH távoli parancsok naplózásának beállítása (ForceCommand logger -p user.notice “$SSH_ORIGINAL_COMMAND”)

A zárójelben lévő beállítások OpenSSH szerverre vonatkoznak. Más SSH kiszolgáló esetén forduljon gyártó leírásához.

Megoldás

Az alábbi szoftverek segítségével távolítsa el a kártevőt:

  • http://www.chkrootkit.org/download/ 
  • https://rootkit.nl/projects/rootkit_hunter.html

Tiltsa le az alábbi IP címeket és URL-eket:

  • heethai.com
  • buhenge.com
  • rxxiaoao.com
  • hcxiaoao.com
  • info.3000uc.com
  • wangzongfacai.com
  • navert0p.com
  • dsaj2a.com
  • dsaj2a.org
  • dsaj2a1.org
  • 103.25.9.228
  • 103.25.9.229

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
System access (Rendszer hozzáférés)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: www.fireeye.com
Egyéb referencia: blog.malwaremustdie.org
Egyéb referencia: blog.avast.com

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »