11月18, 2016

Linux远控分析

0x1 前言

在国内,Linux操作系统以一般运用于服务器及相关后台,个人用户相对较少,因此Linux平台的木马病毒数量也远远不及Windows平台,其变种数量以及变化速度也比不上Windows平台。但Linux平台下的木马病毒有个非常显著的特点,就是不必与安全软件进行过多的对抗,因此导致其攻击手段的针对性极强,攻击面相当集中。以本文分析的样本为例,该样本为一远控木马,但不同于Windows下的远控木马,该木马只针对文件信息窃取与相应的删除,修改等操作,程序的每一部分都是为该功能服务,结构十分清晰。下图显示的是木马程序的简要运行流程。

1

图1 工作流程

0x2 样本分析

样本在执行主要功能之前会判断当前用户,同时判断当前程序路径是否为指定的路径,只有当程序所在路径为指定的路径时才执行主要功能。

2

图2 判断当前用户

程序指定的自身路径为/home/username/.gconf/apps/gnome-common/gnome-common,若当前进程路径不符合,则会复制自身到该路径下。

3

图3 判断自身路径

4

图4 复制自身到指定路径

完成复制工作之后,程序会查找同目录下的同名隐藏文件,并根据该文件后缀名选择命令打开该文件。据此可以初步推测该远控木马的传播方式如下:木马文件伪装成例如pdf文件之类的正常文件,而同目录下存在一个与木马文件同名的隐藏的正常文件,当用户误以为木马文件为正常文件而运行它时,木马程序则运行该正常文件以迷惑用户。

5

图5 查找隐藏文件

6

图6 根据后缀选择命令打开

当程序没有找到相应的隐藏文件时,会创建与木马程序同名的隐藏文件并使用gedit命令打开它。

之后程序会往.profile文件或bashfile文件中写入命令,以保证下回系统启动时复制到/home/username/.gconf/apps/gnome-common/gnome-common目录下的木马程序得以运行。由于木马程序只有自身路径为/home/username/.gconf/apps/gnome-common/gnome-common时才执行远控功能,因此木马直到下回系统启动时才执行主要功能。

7

图7 往.profile或bashfile中写入命令

程序的远控功能位于线程函数ListenAndReceiveThread中。除外,程序会创建线程TimeOverThread作为计时线程,当超过30秒没接收到控制端的消息则结束此次通信。

8

图8 等待时间为30秒

木马上线IP和端口通过查找木马文件末尾标识0x6e7e74077之后若干字节并异或0x3d获取,可通过解析域名上线或者直接使用IP上线,上线方法取决于标识之后字节提供的是域名还是IP,上线端口默认为8080。

9

图9 获取上线IP或域名

为了减少木马发送的数据包的可疑性,木马将数据包头部格式设置为HTTP请求的格式,并将HOST字段设为本机IP。

10

图10 数据包头部格式伪装http请求包

木马程序发送的数据包经过精心构造,前50字节存放伪造的HTTP GET请求GET /index.asp?title=Welcome&picture=welcome.gif,之后的2字节存放flag,用于区分数据包发送的内容,之后22字节存放数据包序列号,接着是发送数据的内容,而包的最后会跟随HTTP请求头。除了包头和包尾两段伪造HTTP请求的数据,其他数据都会与0x3d异或。

11

图11 数据包构造过程

12

图12 数据包格式

木马与控制端交互过程十分严谨 ,无论信息获取成功与否都会发送带有相应flag的数据包并说明相关信息,例如获取失败的路径名称。除外木马程序设置许多标志位来确定连接是否成功,是否接收到数据以及是否成功发送数据等等。

13

图13 读取目录失败则发送相应消息

木马程序接收控制端的命令以执行相关操作,命令由数据包中的flag决定,具体如下所示。

14

值得一提的是,木马连接远程控制端执行这些操作都不需要root权限,也没有相应的提权操作。从控制端发来的控制信息也能看出,木马主要针对文件信息的窃取以及进一步攻击的准备。

0x3 总结

Linux下的木马虽然不及Windows下木马功能强大,但其针对性较强,如果不注意防范可能造成信息的泄露以及遭受进一步攻击,因此Linux服务器管理员需要注意以下几点以防范恶意软件攻击:

  1. 及时修补系统漏洞,防止服务器遭到入侵;
  2. 提高对可疑文件的警惕性,谨慎运行可疑文件;
  3. 恶意软件数量少并不代表Linux平台安全性高,对于服务器的安全性管理员不应该有丝毫懈怠。

本文链接:https://blogs.360.cn/post/linuxremotecontrol.html

-- EOF --

Comments