BillGates僵尸网络依然活跃,警惕成为肉机

千里目实验室 Web安全 2018年11月1日发布
Favorite收藏

导语:BillGates僵尸网络木马曾经是国内最流行的DDoS攻击病毒之一,被攻击者广泛使用,曾一度在DDoS病毒中占比高达32.33%。

1. 概述

BillGates僵尸网络木马曾经是国内最流行的DDoS攻击病毒之一,被攻击者广泛使用,曾一度在DDoS病毒中占比高达32.33%。

近期,深信服EDR安全团队追踪到不少企业用户Linux服务器感染此病毒,BillGates僵尸网络依然较为活跃,提醒广大用户小心。

BillGates僵尸网络木马是一个感染性及隐蔽性极强的病毒,它会创建进程来进行C&C通信、病毒监控等操作,同时还会释放很多病毒克隆文件、替换某些系统文件为病毒克隆文件。

目前深信服终端检测响应平台(EDR3.2.8)内置Linux杀毒引擎支持检测、清除该病毒,深信服EDR用户可升级该版本进行防御。

2. 病毒架构

图片1.png

3. 病毒分析

判断父进程的文件路径,是否有“gdb”字样。看似是反调试操作,但这里v0在后续没有被引用。

图片2.png

这里使用的是edb,所以不会被检测到。

图片3.png

动态拼凑出字符串“DbSecuritySpt”和“selinux”,这两个文件后续被用来开机自启动病毒。

图片4.png

图片5.png

病毒开始会检查更新。

图片6.png

动态拼凑出病毒路径“/usr/bin/bsd-port”,该路径后续用来存放病毒。

图片7.png

图片8.png

通过病毒当前所在的路径来设置g_iGatesType的值,这个值用来指定病毒执行什么恶意操作。

图片9.png

各个路径调用的恶意函数的对应关系如下。

图片10.png

MainBeikong的功能为病毒自复制。

MainBackdoor的功能为将病毒注册为开机自启动。

MainMonitor的功能为监控病毒是否处于运行状态。

MainSystool的功能为过滤系统文件的输出。

图片11.png

MainBeikong

图片12.png

MainBackdoor

图片13.png

MainSystool

图片14.png

系统文件被替换,返回的结果被病毒劫持了。

图片15.png

图片16.png

MainMonitor

图片17.png

MainProcess

MainBeikong和MainBackdoor都会调用MainProcess与C&C服务器通信。

图片18.png

4. 解决方案

病毒清除分3步骤:① 杀死3个病毒进程 ② 清除病毒文件 ③ 恢复系统文件

① 杀死3个病毒进程

图片20.png

② 清除病毒文件

 · rm -rf /tmp/moni.lod /tmp/gates.lod

 · rm -rf  /etc/init.d/selinux  /etc/init.d/DbSecuritySpt

 · rm -rf  /etc/rc1.d/S97DbSecuritySpt  /etc/rc1.d/S99selinux

 · rm -rf  /etc/rc2.d/S97DbSecuritySpt  /etc/rc2.d/S99selinux

 · rm -rf  /etc/rc3.d/S97DbSecuritySpt  /etc/rc3.d/S99selinux

 · rm -rf  /etc/rc4.d/S97DbSecuritySpt  /etc/rc4.d/S99selinux

 · rm -rf  /etc/rc5.d/S97DbSecuritySpt  /etc/rc5.d/S99selinux

 · rm -rf  /usr/bin/bsd-port/  /tmp/pythompy

 · rm -rf  /usr/bin/lsof /bin/ps /bin/ss /bin/netstat

③ 恢复系统文件

 · mv /usr/bin/dpkgd/* /bin/

 · mv /bin/lsof /usr/bin

5. 相关IOC

MD5

5F580868011B6C0DEB8BDE8355630019

URL

www.id666.pw

IP

216.58.203.46:6001

如若转载,请注明原文地址: http://www.4hou.com/web/14320.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论