BillGates殭屍網路依然活躍,警惕成為肉機
1. 概述
BillGates殭屍網路木馬曾經是國內最流行的DDoS攻擊病毒之一,被攻擊者廣泛使用,曾一度在DDoS病毒中佔比高達32.33%。
近期,深信服EDR安全團隊追蹤到不少企業使用者Linux伺服器感染此病毒,BillGates殭屍網路依然較為活躍,提醒廣大使用者小心。
BillGates殭屍網路木馬是一個感染性及隱蔽性極強的病毒,它會建立程序來進行C&C通訊、病毒監控等操作,同時還會釋放很多病毒克隆檔案、替換某些系統檔案為病毒克隆檔案。
目前深信服終端檢測響應平臺(EDR3.2.8)內建Linux防毒引擎支援檢測、清除該病毒,深信服EDR使用者可升級該版本進行防禦。
2. 病毒架構
3. 病毒分析
判斷父程序的檔案路徑,是否有“gdb”字樣。看似是反除錯操作,但這裡v0在後續沒有被引用。
這裡使用的是edb,所以不會被檢測到。
動態拼湊出字串“DbSecuritySpt”和“selinux”,這兩個檔案後續被用來開機自啟動病毒。
病毒開始會檢查更新。
動態拼湊出病毒路徑“/usr/bin/bsd-port”,該路徑後續用來存放病毒。
通過病毒當前所在的路徑來設定g_iGatesType的值,這個值用來指定病毒執行什麼惡意操作。
各個路徑呼叫的惡意函式的對應關係如下。
MainBeikong的功能為病毒自複製。
MainBackdoor的功能為將病毒註冊為開機自啟動。
MainMonitor的功能為監控病毒是否處於執行狀態。
MainSystool的功能為過濾系統檔案的輸出。
MainBeikong
MainBackdoor
MainSystool
系統檔案被替換,返回的結果被病毒劫持了。
MainMonitor
MainProcess
MainBeikong和MainBackdoor都會呼叫MainProcess與C&C伺服器通訊。
4. 解決方案
病毒清除分3步驟:① 殺死3個病毒程序 ② 清除病毒檔案 ③ 恢復系統檔案
① 殺死3個病毒程序
② 清除病毒檔案
·rm -rf /tmp/moni.lod /tmp/gates.lod
· rm -rf /etc/init.d/selinux /etc/init.d/DbSecuritySpt
· rm -rf /etc/rc1.d/S97DbSecuritySpt /etc/rc1.d/S99selinux
· rm -rf /etc/rc2.d/S97DbSecuritySpt /etc/rc2.d/S99selinux
· rm -rf /etc/rc3.d/S97DbSecuritySpt /etc/rc3.d/S99selinux
· rm -rf /etc/rc4.d/S97DbSecuritySpt /etc/rc4.d/S99selinux
· rm -rf /etc/rc5.d/S97DbSecuritySpt /etc/rc5.d/S99selinux
· rm -rf /usr/bin/bsd-port/ /tmp/pythompy
· rm -rf /usr/bin/lsof /bin/ps /bin/ss /bin/netstat
③ 恢復系統檔案
· mv /usr/bin/dpkgd/* /bin/
· mv /bin/lsof /usr/bin
5. 相關IOC/">IOC
MD5
5F580868011B6C0DEB8BDE8355630019
URL
www.id666.pw
IP
216.58.203.46:6001