XOR.DDoS Linux trójai

CH azonosító

CH-11985

Angol cím

trojan XOR.DDoS

Felfedezés dátuma

2014.09.28.

Súlyosság

Alacsony

Érintett rendszerek

Linux
SSH Communications Security

Érintett verziók

Linux

Összefoglaló

A XOR.DDoS trójai Linux rendszerekre próbál bejutni SSH jelszavak próbálgatásával, majd arra használja fel a fertőzött rendszert, hogy elosztott szolgáltatásmegtagadásos (DDoS) támadásban vegyen részt.

Leírás

A trójai linux rendszereket fertőz, és miután telepítődik rootkitel rejti el magát, így szinte lehetetlen észrevenni a jelenlétét.

Az XOR.DDoS támadói olyan  eszközökre vadásznak, amelyeken nem lett megváltoztatva az alapértelmezett felhasználónév, és jelszó. Ezeket az eszközöket nyers-erős támadásokkal (brute force) feltörik, majd a bejutott trójai ellenőrzi, hogy az adott rendszeren telepíthető-e rootkit.

A kártevő képes megfertőzni 32/64 bites linux web szervereket, és asztali gépeket, valamint különböző 32 bites ARM arhitektúrájú rendszereket mint pl: router NAS és egyéb IoT eszközök.

Mehanizmus:

Az első variánst szeptember 29-én észlelték.

  • 32 véletlenszerűen generált kisbetűs karaktert tárol a /var/run/mount.pid -ben
  • Másolja magát a /lib/libgcc.so helyre
  • Másolja magát a  /usr/bin/ helyre 10 véletlenszerűen generált kisbetűs karakter névvel
  • symlinket készít az alábbi helyre: /usr/bin/ majd másolja és elhelyezi a /etc/init.d/-be
  • symlinket készít az alábbi helyre: /usr/bin/   (/etc/rc[1-5].d/S90[Session ID])
  • symlinket készít az alábbi helyre: /usr/bin/  (/etc/rc.d/rc[1-5].d/S90[Session ID])
  • Scriptet időzít annak érdekében hogy bekapcsolja a hálózati interfészeket, másolja /lib/libgcc.so-et  /lib/libgcc.so.bak-ba majd futtatja
  • Az alábbi XOR kulcsot használja: BB2FA36AAA9541F0

A második verziót december 22-én észlelték

  • 32 véletlenszerűen generált kisbetűs karaktert tárol a /var/run/mount.pid -ben
  • Másolja magát a /lib/libgcc4.so helyre
  • Másolja magát a /usr/bin/ helyre egy session ID-vel megeggyező fájnévvel majd hozáfűz egy időbélyeget a binárishoz
  • symlinket készít az alábbi helyre: /usr/bin/ majd másolja és és elhelyezi a /etc/init.d/-be
  • symlinket készít az alábbi helyre: /usr/bin/ ( /etc/rc[1-5].d/S90[Session ID])
  • symlinket készít az alábbi helyre: /usr/bin/ ( /etc/rc.d/rc[1-5].d/S90[Session ID])
  • Scriptet időzít annak érdekében hogy másolja a  /lib/libgcc4.so-t a /lib/libgcc4.4.so helyre majd futtatja a /lib/libgcc4.4.so-t
  • Az alábbi két XOR kulcsot használja: BB2FA36AAA9541F0, ECB6D3479AC3823F

Fertőzés az alábbiak allenőrzésével észlehető:

Stringek:

  • BB2FA36AAA9541F0
  • ECB6D3479AC3823F

Fájlok:

  • /usr/bin/[10 véletlen karakter a-z]
  • /etc/init.d/[10 véletlen karakter a-z]
  • /usr/bin/[Session ID]
  • /etc/init.d/[Session ID]
  • /etc/rc1.d/S90[Session ID]
  • /etc/rc2.d/S90[Session ID]
  • /etc/rc3.d/S90[Session ID]
  • /etc/rc4.d/S90[Session ID]
  • /etc/rc5.d/S90[Session ID]
  • /etc/rc.d/rc1.d/S90[Session ID]
  • /etc/rc.d/rc2.d/S90[Session ID]
  • /etc/rc.d/rc3.d/S90[Session ID]
  • /etc/rc.d/rc4.d/S90[Session ID]
  • /etc/rc.d/rc5.d/S90[Session ID]
  • /var/run/sftp.pid
  • /var/run/udev.pid
  • /var/run/mount.pid
  • /etc/cron.hourly/cron.sh
  • /etc/cron.hourly/udev.sh
  • /etc/crontab
  • */3 * * * * root etc/cron.hourly/udev.sh
  • /lib/libgcc.so
  • /lib/libgcc.so.bak
  • /lib/libgcc4.so
  • /lib/libgcc4.4.so
  • /lib/udev/udev
  • /lib/udev/debug

Január 20-án egy a második változat új variánsát észlelték, azomban a binárison és néhány C&C szerveren kívül más nem változtott.

A Nemzeti Kibervédelmi Intézet az alábbiakat javasolja a trójai bejutásának megakadályozására:

  • SSH jelszavas helyett kulcs alapú autentikáció használata (PasswordAuthentication no)
  • root fiók SSH bejelentkezésének tiltása (PermitRootLogin without-password)
  • SSH távoli parancsok naplózásának beállítása (ForceCommand logger -p user.notice “$SSH_ORIGINAL_COMMAND”)

A zárójelben lévő beállítások OpenSSH szerverre vonatkoznak. Más SSH kiszolgáló esetén forduljon gyártó leírásához.

Megoldás

Az alábbi szoftverek segítségével távolítsa el a kártevőt:

  • http://www.chkrootkit.org/download/ 
  • https://rootkit.nl/projects/rootkit_hunter.html

Tiltsa le az alábbi IP címeket és URL-eket:

  • heethai.com
  • buhenge.com
  • rxxiaoao.com
  • hcxiaoao.com
  • info.3000uc.com
  • wangzongfacai.com
  • navert0p.com
  • dsaj2a.com
  • dsaj2a.org
  • dsaj2a1.org
  • 103.25.9.228
  • 103.25.9.229