Redis漏洞攻击植入木马逆向分析
背景
2015年11月10日,阿里云安全团队捕获到黑客大规模利用Redis漏洞的行为,获取机器root权限,并植入木马进行控制,异地登录来自IP:104.219.xxx.xxx(异地登录会有报警)。由于该漏洞危害严重,因此阿里云安全团队在2015年11月11日,短信电话联系用户修复Redis高危漏洞,2015年11月14日,云盾系统检测到部分受该漏洞影响沦为肉鸡的机器进行DDOS攻击,发现后云盾系统已自动通知用户。
木马控制协议逆向分析
分析发现木马作者,有2个控制协议未完成。
1.Connect协议有处理函数,但没有功能,函数地址为0×8048545。
2.sniffsniff协议没有对应的处理函数,作者未实现该功能。
完全逆向分析后得到控制协议如下表:
3.协议完成逆向后,我们用Python写了一个控制端,并实现全部协议控制木马,如下图:
木马概述
从逆向得到的协议分析可以发现,该木马的功能主要包括:
1.发动DDoS攻击(ICMP、UDP、TCP) 2.远程执行命令 3.远程下载文件执行 4.清除其他后门文件
文件MD5:9101E2250ACFA8A53066C5FCB06F9848
进程操作
1.木马启动,木马接受1个参数,参数为要kill的进程PID。函数地址为0x8049C77.
2.木马会启动一个孙子进程执行木马功能,然后当前进程退出。
文件操作
1.暴力关闭文件,关闭0到0xFFFF的文件,调用系统调用sys_close(),函数地址为0x8049C77。
2.自我删除,调用系统调用sys_readlink()读取/proc/self/exe获取文件路径,sys_unlink()进行删除,处理函数地址为0x80494F3。
网络操作
1.连接8.8.8.8的53端口,探测网络是否连接到Internet,处理函数地址为0x8049B90。
2.连接木马控制端37.xxx.xxx.x的53端口,处理函数地址为0x8049C77。
* 作者:梦特(阿里云云盾安全攻防对抗团队),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
正文到此结束
热门推荐
相关文章
近期评论
-
你这基本没有更新呀,最近文章显示还是2019年的文章。不符合要求哈
-
关键词:慕云博客 链接:https://www.lilun.me 描述:分享原创文字的个人博客
-
-
-
可以提供一下源码吗
-
不是商业站,鸡娃学习笔记
-
-
-
-
听他们说很厉害的样子
Loading...
![[HBLOG]公众号](http://www.liuhaihua.cn/img/qrcode_gzh.jpg)
