近日,微步情报局接连捕获到一组Linux特马样本,主要用于攻击者渗透后的远程控制。由于该项目使用go编译,且其中核心项目名称为acc,故称之为acc特马。
微步情报局判断,通常情况下Linux木马相对较为少见,攻击者主要通过上传Webshell来控制服务器。但随着Webshell检测能力的不断增强,攻击者似乎正在尝试使用Linux特马来绕过检测,使得Linux对抗强度全面升级。
截至发稿前,微步云沙箱S已支持同组特马的精确检测,建议相关用户及时加固Linux主机,检测、查杀恶意代码,封禁对应C2。
可以发现,acc特马于7月22日最早出现,在这几周里的活跃度持续上升,且不断出现免杀能力更强的新变种,导致多家单位中招。由于现阶段相关行业对Linux相木马的防范和预警能力普遍较弱,在接下来的一个月内,acc特马仍然会大肆攻击相关单位的Linux主机。微步情报局将对该特马家族进行持续跟踪和狩猎。
acc特马能力简介
2.1 混淆免杀
目前掌握的最早同类型样本出现在7月22号,静态信息如下所示。
|
|
|
|
|
|
|
|
|
|
|
|
2.2 伪装投放
已知样本命名如下:
-
bash、ssh、sbin-usr(伪装成正常系统文件);
-
xredis、mysqld、java、javah、ngin、erp-mysqld、eyou_update、openstack_update(应用程序及其更新程序);
-
titan_agentx、titan_proxy、ds_agent、titan_system、yjglzx_agent、360agent、zabbix_agentd(伪装edr、云助手及各类agent命名);
-
xx集团(柬埔寨)暑期999全家游.iso、10.2.18.81-svn.rar、iis_bin.exe(window系统样本)。
2.4 样本其他功能
目前,微步情报局捕获到的关联样本C2均为阿里云主机IP,通信端口为53、80、81和443,基本可以确定该样本为攻击队二次开发的远控工具。
3.1 基础信息
|
|
|
|
|
|
|
|
图:微步云沙箱S检测结果
3.2 Rust免杀
该样本使用Rust编译而成的elf文件,通过解密释放核心载荷so(即初始样本)到/dev/shm/下,核心载荷名字为.shmXXXXXX ,后为6位随机数,并执行该so文件。该样本逆向分析难度更大,免杀能力也更强,多引擎检出率为0。(目前云沙箱S自研引擎OneStatic已经支持检出),经过微步情报局分析后发现核心载荷正是上文中分析的acc特马。
该Rust样本运行并加载acc特马的流程如下图所示:
3.3 样本分析
首先进程sleep若干时间:
然后解析命令行,分解相关参数。如果命令行不为 yar –config yar.dat,该样本将退出。
随后样本会解密出一个ELF文件:
将解密的文件命名为/.shmXXXXXX,当前为/dev/shm/.shmIxdjeU
然后将ELF文件写入到该目录下的文件:
最终样本尝试打开并运行解密后的ELF文件:
进入入口点dump相关文件,此时dump出的核心载荷即为上文中分析过的初始样本,此处不再赘述,详细分析可参考文章第二部分。
2)清除主机上的恶意软件
3)检测排查:
-
排查指定通信端口(53、80、81、443)是否存在异常加密通信流量,尤其指向阿里云主机的异常流量; -
检查进程列表中是否包含可疑进程名(详见上文已知的伪装文件名); -
排查可读写执行目录(/tmp等),近期新增、修改的文件记录(bin目录近期是否有新增、替换系统文件行为)、/etc/passwd访问记录; -
排查近期是否有大小在6M以上的ELFx64文件落盘以及是否存在可疑的系统历史命令、计划任务日志等。
5)对内部员工进行防钓鱼安全培训。
C2
47.95.168.191:80
47.100.160.164:80
47.99.78.41:443
123.57.6.3:81
123.56.128.253:80
123.57.223.22:81
192.92.101.4:81
39.107.75.91:81
139.224.254.181:53
139.224.45.232:53
47.102.36.88:53
47.101.43.111:53
139.196.196.178:53
9744bb5b45b25d4238e9d11465d88c9cf7a758c599217d996f8b8d45e0412967
7ff329e0a20a96dd4d0e8b42a216ade348161566250b7e39e166031c881f34d0
b66dab4fbdae54eea59313fd218abc96a54c0bbf0ab774dbe8776de9322510b2
f4045c998c785cd821f8e2b985fd500d4ad942de41931707f48e1b442bd3baf7
3d53c35ee0a1f135a64158f72c9f6d4cf5915ad35fc274f80e91a4773631c091
f3d2543a5d5d296618f4f50c96fec762b399fa15ed9e637e1b367c2274b98429
1887185af63849aea9cdd7855b638110447842f178fca9cd81b76c72acd16e68
12435ae8d190c4a0cae64009416f17195dbb7f7ca732b69e6178e9dd4c66fcb2
d8147a494837560347d40027ae08beab4eb8c4c25beba7250276e768a986613d
90adac72b6038472083e3e2ff8ab8a41eb624c5dc5b0dce58653d94d6c8b4da9123 2b8d5f116421803d267d6195e37a7198883d71b76ce3cdcb91730f86c9b79
公众号后台发送消息“acc”,可获取完整版IoC。
原文始发于微信公众号(微步在线):还在Webshell?警惕Linux特马“大杀四方”