Loading
0

一次XorDDos变种样本的分析实战记录

一、起因
上周五晚上,前同事丢给我一个样本,让我帮他分析一下,周未有事也没时间看,只是把样本丢到VT上扫了扫,报XorDDos.2,原来是14年就出现的XorDDos样本的变种,晚上没玩LOL,把样本详细分析一下,写了这篇报告,欢迎学习交流,顺便赚点奶粉钱,呵呵。
二、样本简介
XorDDos类型样本主要特点,用暴力猜解目标机器ssh弱密码的方式,入侵目标机器,然后执行相应的shell脚本,安装病毒到目标机器,将目标机器变为DDos肉鸡,然后病毒利用多线程发起DDOS攻击。
被安装的病毒会通过fork结束掉父进程,删除自身,并拷贝自身到各个系统目录下执行创建多个守护进程,样本在拷贝的过程中运用了简单的“多态”处理方式,随机生成相应的文件名,随机md5变换等。拷贝完成之后加载自启动服务,根据获取到操系统内核版本信息安装rootkit,p实现隐藏网络端口,文件等,最后通过多种方式发起DDos攻击。
三、详细分析
首先查看文件类型,如下:

从图中我们可以得知,文件是linux32位可执行程序,通过ida反编译程序,main函数如下:

病毒首先设置相应环境变量,从上面的代码中我们可以看到里面有一个dec_conf函娄,用于解密字符串,得到相应的文件路径,下载地址等信息,解密函数如下:

查看ida里的xorkeys,我们得到了它的加解密key为:BB2FA36AAA9541F0,我们来用edb动态调试一下看看,打开edb加载样本,跟踪到main函数,如图所示:

然后单步调试,解密相应的字符串,得到如下图所示的路径信息:

将main函数中前面的字符串一个一个解密完成之后,得到如下的解密字符串列表:
v27 = /usr/bin
v26 = /bin/
v25 = /tmp/
v23 =/var/run/gcc.pid
v22 =/lib/libudev.so
v21 = /lib/
v20 = http://www1.gggtata456.com/dd.rar
v24 = /var/run/
通过edb动态调试,我们将下面的一些字符串全部解密完成,如图所示:

分页阅读: 1 2 3 4 5
【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。