近期,火绒威胁谍报体系监测到一种针对Linux体系的后门型病毒,经排查分析后,确定其与HelloBot家属有关。HelloBot是一个针对Linux体系的恶意软件家属,实行长途控制受害者盘算机等恶意活动,因其设置测试中输出“helloworld”而得名。
该病毒自2019年被披露后,被多个犯罪团伙和APT构造利用,对用户构成较大的威胁。如今,火绒安全产物可对上述病毒举行拦截查杀,请企业用户及时更新病毒库以举行防御。
病毒查杀图
该病毒被激活后,会开释“worker”文件并为其举行设置,后者在受害者电脑上实行关键操纵。差别的设置会导致差别的恶意举动,包罗进程伪装、备份文件、防火墙设置和长途控制等。该病毒实行流程,如下图所示:
病毒实行流程图
一、样天职析
该类病毒是一个由设置主导的成熟复杂的后门程序,差别的设置有差别的实行结果,这里仅以当前样本设置的实行过程举行叙述:
设置查察
在观察中发现样本有四个启动参数:--builder、--test、--shell、--dump。
--builder必要传入指定的设置和要更新的样本文件名filename,用于重新构建服务。
--test只是简单地测试样本实行输出。
--shell开启一个shell举行毗连,必要输入暗码举行md5校验,md5解出来的值为"tk_shell"。
--dump后接要导出设置的样本名,用于表现当前样本的设置信息
参数设置
前期操纵:通用实行部分
由于样本实行阶段重要分为“开释器”和“工作者”两个部分,两者实行流程因设置修改而异,但在根据设置举行“分流”之前,有着共同的初始化部分,梳理如下:
1:重置shell相干汗青记录。
汗青打扫
2:校验输入参数,并举行相应处理惩罚。假如没有输入参数,就举行后续处理惩罚。
校验参数
3:从自身获取设置
提取设置
4:忽略全部信号并重新注册SIGCHLD信号。(重置mgr_pid和monitor_pid为-1)
注册信号
5:根据设置将自身进程更换成卖弄进程名。
进程更换
开释器分析:
启动程序运行前会先查察一下体系环境,重要查抄/tmp目次是否存在,tmp_start_dir设置对应的/var/tmp是否存在等,为后续副本投放实行作铺垫:(auto_start也会先设置为0)
路径查察
样本会遍历运行中的进程获取要伪装的文件(这里只开启了firefox),然后将重定名的副本开释到/var/tmp/(tmp_start_dir)目次下并设置好对应的实行权限:
进程路径获取
体系函数调用图
随后开释器会设置is_worker为1用于更新副本firefox的设置,is_worker标记表现该样本将要用于正式实行阶段:
设置更新
末了,开释器通过fork分支实行"/bin/sh-c/var/tmp/firefox"并将其设置成背景进程。开释器竣事任务,剩下操纵移交到firefox代表的worker中:
开启"worker"
工作者实行:
由于该样本属于后门程序的设定,以是后续操纵围绕着“上线”睁开。且由于is_worker值的设置,该样本在实行时跳过了前面开释器提到的流程。
工作者先是删除文件自身,以内存加载的方式实行:
删除自身
进程图展示
设置中lock_file对应的文件起一个雷同“互斥体”的作用,通过判定该文件占用环境来确定worker是否重复实行:
“互斥体”设置
fork的进程:
样本后续通过fork分支了多个子进程,子进程之间相互关联且涉及到设置中的mgr_pid和monitor_pid进程,梳理如下:
流程图
子进程1:监控全局
开始分付出来的子进程1被设立成离开终端的独立进程,用于背景运行:
背景实行
接着fork出子进程2,并设其为mgr_pid值,用于管理“上线”的操纵。并接着在start_monitor_child函数中开启子进程3,用于实行监控操纵。在开启子进程2、3之后,子进程1进入到监听消息的循环当中,通过指定的消息实行差别的操纵。
监听消息
监听的特定消息应由“上线”后以发出,包罗restart、update、uninstall3种管理方式。此中这三种操纵的对象都指向进程3在install_path和install_path_bak中存放的最新设置的“启动器”:
管理分支进程
子进程3:设置更新
在start_monitor_child中开启的子进程3负责监控操纵,其获取设置中的mon_interval(10秒)值作为监控周期,循环实行:
循环检测
对于设置中设置了的"cmd%d"下令,则会在该进程中遍历实行:
下令实行
该进程最关键的还是对于设置的更新,根据设置中的install_path和install_path_bak值,把自身复制到对应的目次下并设置is_worker为空(相称于启动器),目标是在“上线”后根据交互时候更新下令设置。
设置更新
子进程2:维持通讯
子进程2负责“上线”操纵,在通讯之前会校验防火墙设置,假如设置了值,则实行"iptables-F"打扫防火墙规则:
防火墙设置
随后在循环中遍历设置中的host%d,获取C2域名举行毗连:(拽写本文时,C2已失效)
C2毗连
在毗连前,获取DNS分析的IP地点举行毗连,构造特定的报文发送来获取特定的返回数据:
报文构造
流量查察
毗连乐成后根据设置中的protocol来选择要利用的通讯协议举行管理:
协议选择
关于SIGCHLD信号:
在前期对信号的处理惩罚操纵中注册的SIGCHLD信号处理惩罚函数是对“工作者”的进程2、3举行处理惩罚的。由于当第一个子进程闭幕后,SIGCHLD的处理惩罚函数还要等待第二个子进程闭幕才华进入条件。在该条件句中,实行的操纵是重置mgr_pid和monitor_pid的值。
SIGCHLD信号
关于壳与设置:
样本是用通例upx壳压缩的,并没有什么修改。但是对于设置部分,程序采取的是将加密后的设置附加在文件末端,这就导致了主动脱壳失败:
设置写入
相干字节码
二、附录:
HASH:
CC
“火绒企业版2.0”在继承火绒自主研发的核心技能与体系协同运行外,重点增长了更多企业级防护模块,构建了美满的纵深防御体系,拓宽了对终端管控的边界,使之更能充实满意企业在数字化转型配景下的防护需求,这也标记着火绒在技能、研发、运营等各项本领上进一步成熟。同时,这也是火绒不绝得到各行业用户承认,在B端贸易化蹊径上稳步前行的有力表现。
一体化管理管控夯实终端安全城壁
终端数量多而杂,部分异地管理,网络隔离战略紊乱,员工安全意识良莠不齐……企业安全的下限在于对复杂网络、终端的公道有效管理管控。火绒企业版2.0通过同一摆设、同一管控,既可以资助企业实现一体化终端管理办理方案,同时也克制因管理的缺口造成外部威胁入侵的风险,具体步伐如下:
一是主动化的资产管理。通过【资产登记】等功能,资助管理员通过火绒控制中心即可随时获取终端的资产硬件状态与变动信息,告别“走访式”资产登记方式,低落企业在管理终端上的人工、时间、运维等本钱。
二是运营管控的会合化。摆设火绒企业版2.0后,可通过订定、派发各类安全战略至终端,严格控制外接装备利用、联网动作、网站内容、程序实行等举动,杜绝员工擅自操纵造成的安全隐患。
构建纵深防护体系深挖终端安全护城河
在技能层面,火绒企业版2.0新增【应用加固】、【Web扫描】、【僵尸网络防护】、【暴破攻击防护】、【摄像头防护】、【Web服务掩护】等关键性防护功能,并将这些功能布局在对体系、网络、病毒的防护层级上,与原有的企业防护功能共同构建更加美满的防御纵深,资助企业克制遭遇黑客渗出、长途攻击、打单病毒入侵等常见威胁。
用户覆盖数万家B端市场连续发力
以核心技能和产物为前行基石,以精良的运营体系来连续发展,以优质的服务打造口碑,火绒企业版自推出以来,已有数万家用户选择利用,覆盖金融、IT、物流、制造以及学校、医疗、公检法等50余类细分行业和单位机构。
CopyrightYourWebSite.SomeRightsReserved.
京ICP备2023016396号-1PoweredByESCLINK.
我要评论