<title></title>
DDoS⽊⻢¨NBSP;- Tsunami家族样本分析⼀、样本概述样本运⾏平台为linux系统,作为僵⼫⽹络节点进⾏DDoS攻击。连接IRC服务器,通过互联⽹中继聊天接收指令,能够完成聊天服务器相关的聊天室配置、身份配置、状态反馈等聊天功能,通过解析消息获取攻击类型与攻击⽬标,完成DDoS攻击。⼆、样本类型样本属于Tsunami家族,DDoS攻击程序,活跃时间为2013年⾄今。该家族使⽤的攻击⼿段包括TCP、UDP、DNS泛洪攻击。⽬前发现样 本相关的源码已经公开在⽹ 络,适合分析者研究学习https://github.com/Soldie/COLE-O-botnets/blob/aec534acbf9789451f009129efaa1ec760973e2e/VirusPack/f34c5c27b.c三、详细分析3.1 ELF⽂件头haidragon2022-11-06 14:48发表于湖南原创安全狗的⾃我修养
⽂件头信息3.2僵⼫⽹络样本作为“僵⼫⽹络”中的“⾁鸡”,执⾏逻辑如下。A、根据Time、PPID⽣成客户端标识ID。B、连接IRC服务器加⼊聊天频道C、接收聊天消息,检查消息,执⾏指令。
服务器地址、端⼝通过解析通讯流量,其通讯数据各字段含义⻅下图:通讯流量聊天协议包含的指令,以及对应的聊天室功能⻅下表:指令功能352设置⼀个假ip376加⼊特定频道,查找匹配的mac地址433⽤“/usr/dict/words”⽬录下的⽂件内容做别名422同367,加⼊特定频道PRIVMSG接收irc命令,访问/usr/bin/xxh的⽬录下有没有SSH相关进程,如果有的话就关掉;从这⾥⾯进⼊ddos僵⼫⽹络攻击PING发送PONG指令,⽤户的登陆与结束JOIN加⼊频道KICK加⼊服务器对应的频道NICK取别名聊天协议3.3DDoS攻击
样本提供了四种攻击⽅式,攻击对应与指令⻅下表。指令功能TsunamiACK FLOOD攻击PanSYN FLOOD攻击DosUDP FLOOD攻击Unknown垃圾数据包除发送垃圾数据包外,其余攻击⽅式均伪造假的数据封包,欺骗⽬标系统调⽤资源处理数据包。详细分析⻅下⽂逆向细节。指令描述SPOOFS设定IP范围DISABLE判断密码是否输⼊正确ENABLE恢复客户端的能⼒GETurl拼接,获取cpu架构,该程序只在i686和x86系统上运⾏,设置可接收的⽂件格式,接收上线地址发来的数据,从80端⼝联⽹接受浏览器的请求下载指定⽊⻢⽂件VERSION返回后⻔版本BYEBYEALL关闭对客户端的ddos攻击IRC将指定的irc指令发送到服务器CHGSERV更改服务器Help显示可⽤指令列表NICK取别名GETSPOOFS获取欺骗参数ENABLE判断密码是否输⼊正确DDoS攻击的相关设定指令
3.4.溯源分析3.4.1 CC检索公开情报显示:该样本连接的IRC服务器地址关联到恶意软件、远控、挖矿⽊⻢、Tsunami泛洪等标签。CC情报3.4.2哈希检索在线恶意软件扫描⽹站VirusTotal提供的各⼤杀毒引擎扫描结果显示:有15家杀软引擎反馈为恶意程序。
hash扫描结果s3.5逆向细节3.5.1muma基本信息ELF⽂件基本信息
脱壳后ELF⽂件信息3.5.2连接前的准备⼯作打开并锁定⽂件/temp/.ssh,该⽂件样本未提供。锁定使⼦进程可以访问该⽂件资源。当前进程为⼦进程,则 创建复制⼀ 个⾃身的⼦进程。创建⼦进程将时间与进程id组合,创建随机字符串,赋值⽣成随机的⽤户信息。⽣成随机⽤户信息
3.5.3服务端通讯建⽴循环:连接聊天服务器,发送上线消息。样 本预设了2个服务端地 址和7个端⼝ 号,每 次连接随机选取地 址和端⼝,⻅下图。⼦循环:检查每 次连接的时间间隔,设置随机端⼝,连接服务端。
监听socket:监听到socket返回数据,接收buffer,逐⾏读取指令,指令⽐对函数名称,调⽤对应函数:3.5.4聊天协议函数函数引⽤位置函数名称与地 址数组⻅下图:指令与对应函数地址
3.5.4.1函数352实现操作:⽣成⼀ 个被打乱ip地 址校验nick获取ip地址IP地址转换失败,解析主机失败,返回
ip转换整型成功或者解析成功,则打乱ip并保存3.5.4.1函数376、422实现操作:发送上线消息。发送消息3.5.4.3函数433实现操作:⽣成昵称重新⽣成nick3.5.4.4函数PRIVMSG
解析传⼊的服务端回复数据reponse,得到需要执⾏指令名称,去⽐对功能函数表并执⾏。指令与功能函数上图中,包含有四个DDOS攻击指令:Tsunami,Pan,Dos,UnKnown。以及远控相关指令。下⾯主要分析DDOS攻击功能。3.5.5 DDOS攻击功能3.5.5.1 ACK-PUSH泛洪攻击攻击流程:以⾮常⾼的速率发送假的的ACK-PUSH数据包,该包不属于被攻击⽬标防⽕墙上的现有会话或者路径上的设备,在状态表中⽣成不必要的查找,消耗额外的系统资源。设置攻击⽬标与时⻓
构造并循环发送TCP-ack包3.5.5.2 SYN泛洪攻击SYN 泛洪攻击利⽤TCP的三次握⼿过程,⽤SYN淹没⽬标系统上的多个TCP端⼝,请求在源系统和⽬标系统之间启动连接的消息。被攻击⽬标系统对接收到的每个SYN消息⽤SYN-ACK消息进⾏响应,并临时打开⼀个端等待来⾃源的最终ACK消息以响应每个SYN-ACK消息。攻击者从未发送最终的ACK,因此连接⽆法完成。临时连接最终将超时并被关闭,但在此之前,⽬标系统将会被其状态表中积累的⼤量不完整连接淹没。
构建syn包构建syn包,循环发送3.5.5.3 UDP碎⽚攻击
UDP碎⽚攻击,发送较⼤的UDP数据包(1500字节),消耗更多的⽹络带宽。由于碎⽚包通常⽆法重新组装,因此它们消耗了设备上的⼤量资源。构造udp包发送3.5.5.3碎⽚数据攻击攻击流程:⾼频率发送较⼤的碎⽚数据(0x2400)⾄⽬标服务器的随机端⼝,该攻击⽅式效率⽐较低。
发送碎⽚数据四、样本特征4.1IOCFile MD5cf6cb25624874424af47011a7dd131b4File SHA11d0d2de612c473fc4c75ed5d61952f8e4ad7384cFile SHA2566f14afb14e198fc36ff839b09077edb2fb5a55dc9c29c9edcd59075d48255332Hostpwn.pwndns.pw
ip168.235.95.1044.2 Yara
rule muma_unpack {
meta:
description = "Tsunami:RAT&DDOS_BOT"
muma_unpack_hash1 = "4410b1cd507926071378c0c470fa98aff12ed4b59ec00766fef8847c72397c26"
muma_hash1 = "6f14afb14e198fc36ff839b09077edb2fb5a55dc9c29c9edcd59075d48255332"
strings:
$x1 = "NOTICE %s :PAN = An advanced syn flooder that will kill most network drivers" fullword ascii
$x2 = "NOTICE %s :SH = Executes a command" fullword ascii
$x3 = "NOTICE %s :GET = Downloads a file off the web and saves it onto the hd" fullword ascii
$x4 = "NOTICE %s :UDP = A udp flooder" fullword ascii
$x5 = "NOTICE %s :UNKNOWN = Another non-spoof udp flooder" fullword ascii
$s6 = "NOTICE %s :TSUNAMI = Special packeter that wont be blocked by most firewalls" fullword ascii
$s7 = "NOTICE %s :PAN " fullword ascii
$s8 = "NOTICE %s :UDP " fullword ascii
$s9 = "User-Agent: Mozilla/4.75 [en] (X11; U; Linux 2.2.16-3 i686)" fullword ascii
$s10 = "src/process/execve.c" fullword ascii
$s11 = "NOTICE %s :UNKNOWN" fullword ascii
$s12 = "NOTICE %s :TSUNAMI" fullword ascii
$s13 = "NOTICE %s :IRC = Sends this command to the server" fullword ascii
$s14 = "src/process/posix_spawn_file_actions_adddup2.c" fullword ascii
$s15 = "src/process/posix_spawn_file_actions_destroy.c" fullword ascii
$s16 = "src/process/posix_spawn_file_actions_init.c" fullword ascii
$s17 = "NOTICE %s :Spoofs: %d.%d.%d.%d - %d.%d.%d.%d" fullword ascii
$s18 = "NOTICE %s :Password too long! > 254" fullword ascii
$s19 = "NOTICE %s :Password correct." fullword ascii
$s20 = "src/process/posix_spawn.c" fullword ascii
$y1 = "gent.Mozilla/4.75" fullword ascii
$y2 = "PROT_EXEC|PROT_WRITE failed." fullword ascii
$y3 = "Id: UPX 3.95 Copyright (C) 1996-2018 the UPX Team. All Rights Reserved. $" fullword ascii
$y4 = "NOTICE %s :Unable to comply." fullword ascii
$y5 = "Q USERID" fullword ascii
$y6 = "ooo.User" fullword ascii
$y7 = "KILL " fullword ascii
$y8 = "no- wi&-FbZ" fullword ascii
$y9 = "" fullword ascii
$y10 = ",7V{ -" fullword ascii
$y11 = "? -[Bo&" fullword ascii
$y12 = "O9/JHTTP/1.0" fullword ascii
$y13 = "liheek" fullword ascii
$y14 = "assifyl" fullword ascii
$y15 = "DEH_FRAME_" fullword ascii
$y16 = "%HTF%3" fullword ascii
$y17 = "toupbr" fullword ascii
$y18 = "%DKz%H" fullword ascii
$y19 = "uvbful" fullword ascii
$y20 = "1-2%S " fullword ascii
condition:
( uint16(0) == 0x457f and filesize < 2000KB and ( 1 of (x*) and 4 of (s*) ) ) or
( uint16(0) == 0x457f and filesize < 600KB and ( 8 of (y*) ) ) or
( all of them )
}