一个 ELF 蠕虫分析 蠕虫incaseformat

翻译：Titan_Avenger

预估稿费：200RMB（不服你也来投稿啊！）

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

背景

我们在网上发现了一个有趣的 ELF 蠕虫，这可以帮助提高系统管理员的安全意识。这是个已知的 ELF 恶意软件，可能是 `Linux/PnScan` 的最新变种，在 x86-32 平台发现，从网络中受感染的结点到了我们手中。这个蠕虫针对嵌入式平台，我有点惊讶 i86 程序可以命中 Linux 目标。

在样本送到 MalwareMustDie ELF 分析团队之前，我在 2015 年 9 月 28 日发表过一篇讲述该威胁的[文章][1]，我认为这种威胁现在已经消失了，但是我错了。因为恶意软件那时正处在蠕虫的感染阶段，硬编码指向 183.83.0.0，该恶意程序也是在此处被发现的。在此之前，我从来没有写过这种威胁，这是一个提高对活动蠕虫认识的好机会。

威胁指标

出于某种原因，我们不能告知你传染源来自哪里，但就存在于上面提到的 IP 段内。寻找一个受感染的主机非常困难，似乎恶意软件在绕着特定的网络兜圈子。

该文件具有以下特征：

静态检测可知，使用了 UPX 壳：

就像我在[其他文章][2]中解释的一样，这是一个典型的 UPX 头。

原始二进制文件可以看出 UPX 的打包痕迹：

该蠕虫使用了定制的 UPX 头部样式来逃避逆向分析和解码：

有一些方法可以将其转换该 ELF 成原始形式，我会在这个案例处理完毕写一个如何做的文章。

我们有几种不同的方法来破解用定制 UPX 处理过的 ELF 程序。其中之一就曾经在分析 `xxx.pokemon(.)inc` 时用过，[文章][3]中提到这是一个 IRC DDoS 僵尸网络。另一种方法是通过不同的破解手段来实现脱壳，在 radare.org 的论坛上有公开的[分享文章][4]。

上面提到的教程方法都可以成功的破解这个 ELF。

在处理一个困难的 ELF 壳时，我对系统管理员 和 RCE 新手的忠告是：如果你认定了什么事儿，就按照设定的目标不断提高自己，保持耐心和勇气。永远记住，骗子不会变得比你更聪明，秉持这个信念你总会解决问题的！

Linux/PnScan 蠕虫细节

以下是 `Linux/PnScan` 蠕虫脱壳的细节，这段视频实际上是我给 CERT 和 IR 做的教程，指导其如何应付这种威胁。我使用 `radare` 来进行逆向分析，案例中有大量的编辑，有些删减掉了、有一部分出于安全考虑隐去了、也有无法解释的部分被跳过了。但是在视频中的全部内容都是可以公开的，如果你是一个 ISP 的 IR 或者在 CERT 工作，这个视频非常值得你观看！因为其他安全原因，有很多细节没有在这个[视频][5]中体现。

译者注：原作者提到该视频中段有可能会遇到无法加载的情况，原作者希望你可以通过重新加载页面来解决这个问题，而不要怪罪视频本身。

关于 r2 的一点

系统管理员和逆向分析爱好者在对 ELF 恶意软件进行静态分析时，我会强烈推荐 radare2（r2） 这个工具。我使用不同的工具完成不同的任务，比如 gdb、objdump、ELF utils 等小工具，但我用 r2 [时间最长][6]，它永远不会在 UNIX Shell 中停止工作。MalwareMustDie 的团队成员每天都使用它作为 ELF 分析的工具。

简单的说，r2 可以在任何一个 *NIX 原生架构 Shell 环境中运行，甚至包括那些受感染的系统，这样对静态分析的帮助极大。它不仅仅是一个静态分析工具，它还允许你抽取重要的信息，以及支持丰富的指令，它的灵活、快速值得每一个人去体验尝试！

你可以通过这个[项目][7]和另一个[网站][8]来进一步了解 radare2。

继续我们的分析！

该 ELF 有下列依赖：

其使用 GCC(4.1.x) 编译工具链完成编译，并指明编译选项为启用 SSL 配置、面向 i686。看起来作者工作的桌面在加密磁盘 `/media/truecrypt1` 中，工作路径为 `/my/framework/`：

工作综述

通过逆向分析，在这个 ELF 样本中没有发现什么新的功能，只在具体使用方法上存在差异，它针对 x86-32 平台，并且以印度的网络为目标。工具链使用了 i686 的编译选项是很奇怪的，但也显示出 x86-32 不是他唯一的目标平台。从感染的历史数据来看，2015 年 9 月发现了针对 MIPS 的版本。简单来看，该蠕虫并不仅仅针对物联网设备和 Linux 的嵌入式设备，对服务器、应用程序以及默认口令都有关注。

总结

1. fork 四次，算上主进程一共有 5 个

2. 在工作目录创建带有以下功能的文件

3. 守护并监听 2 个 TCP 端口

4. 最初攻击目标为 183.83.0.0/16（硬编码存储）

5. 暴力破解

6. SSL 通信

通过 `HTTP/1.1` 对 `twitter.com、reddit.com、google.com、microsoft.com` 发起请求传送 SSL 流量。

EmergingThreat Lab 提供了一个更清晰的 PCAP：

7. SSL 加密流量

该蠕虫通过向 SNS 网站发送加密的 SSL 请求来进行隐蔽通信，主要包括 twitter.com、reddit.com、microsoft.com、google.com、my.mail.ru 等网站，如同上面的视频中提到的，蠕虫会在 /files/ 下生成一个包含命令控制服务器 IP 和 端口的文件。如果你想测试与蠕虫进行通信，该蠕虫可以在 TCP/9000 端口响应知名的僵尸网络协议，TCP/1337 也是一个感染成功的标志。如果 TCP/9000 和 TCP/1337 端口都开放了，状态都是 ESTBLISHED，有很大可能性被感染了。

下面这个 PCAP 快照就是在感染初期阶段的一些请求：

启动连接

客户端请求

服务器应答

没有成功建立连接，它将会重新尝试下一个，此时是 reddit.com

蠕虫不断扫描、不断爆破的同时也在持续发送请求。直到蠕虫与控制服务器建立了连接，攻击者可以控制被感染设备才会停止活动。

这就是为什么在编译选项中使用了启用 SSL 选项，需要使用 Twitter、reddit 等 SNS 网站的 SSL 认证来传输数据以及进一步创建与控制服务器的连接。

感染症状

在感染的最初阶段，感染主机会发现如下进程运行：

发起的攻击可以在网络连接中看出：

为了更精确的描述攻击的具体情况，下面是包含 PoC 的 PCAP 包记录[视频][9]，数据太多所以视频只能将记录到的对 SSH 进行暴力扫描/破解过程的 3%。

如果有数十台甚至上百台受感染主机，你可以想象流量将会多么混乱。如果目标网络中七号有大量的 SSH 默认口令登录，攻击者就可以创建一个庞大的感染链。

每个已连接的目标都在 `list2` 文件中记录着：

在 `login2` 的文件中可以发现爆破列表：

主要的进程 PID 都存储在 `[MalwareFile].pid ` 中：

威胁起源

对于其威胁来源，我和同事进行过讨论，处于安全原因，我不提他的身份了。

1. 编译痕迹

可以看出其使用了 Truecrytt 使用过的交叉编译工具，而且其工作目录运行在 Truecrypt 中也可以看出其与东欧网络骗子的一些活动有关。这些都暗示了这个威胁的起源：

2.MY.MAIL.RU API 的使用

该蠕虫使用了俄罗斯最大的公共邮件服务 `mail.ru` 的 API，我们认为攻击者应该是讲俄语的，我们没有提到国家性质，这只能表明很大可能性攻击者定居在俄罗斯。攻击者知道如何使用 `my.mail.ru` 的特定子域名：

缓解与检测方法

缓解办法

1. 确保你网络上的设备都不是 SSH 默认口令，如果可能不要使用 SSH 标准端口

2. 如果有一个主机与你的连接建立在 TCP/1337 和 TCP/9000 的基础上，你很有可能已经被感染了。如果你本地还有使用 TCP/9000 的程序在运行，就可以进一步确定，你可以在这个[网站][10]查看。

3. 如果你在 IDS/IPS 上发现了通过 SSL 加密发往那些 SNS 网站的数据包，而这些数据包恰好来自那些本不应该出现类似行为的设备，比如物联网设备。请务必查看 TCP/1337 和 TCP/9000 端口是否被利用，如果可以，进行脱机检查是必要的；如果已经被感染控制，最好重置固件然后更改 SSH 的默认端口和密码。

4. 对于服务器，清除该蠕虫并不困难。蠕虫在最初感染阶段并不具备 rootkit 能力，除非攻击者不再进行后门连接或者进一步对受害者的设备进行操作，检测活动目录并删除木马文件即可。在删除之前，快照一个网络进程列表，在修复过程中要断网操作。迄今为止这个蠕虫还没有表现出自启动的设计。

5. 只是为了确定你的系统是否危险不用保持离线。蠕虫会扫描 SSH 端口、尝试爆破才能感染。该蠕虫的感染速度非常快，在分析的短短几分钟内就有超过一百个节点被攻击了。一旦感染了蠕虫请立即脱机，极有可能是因为你的 IP 段内有设备受到了感染。

6. 可以给我留言联系进一步的协助，或者尝试与我们的 Twitter 账户（@malwaremustdie）进行沟通，我们将会尽我们所能帮助您。不过请耐心等待答复。

拦截签名

十分感谢 ETLab 帮助我们完善了 Snort 和 Suricata 开源规则来应对这种威胁。

规则极其复杂，探测该蠕虫的网络活动：

需要指出的是，这可能让你有点困惑，但是不要将它和 `Linux/PnScan.1` 混为一谈，他们的工作方式并不相同。另外这些威胁的命名是由宣布发现的第一个实体决定的。

结论、样本

这个蠕虫重新感染了 i86 的 Linux 机器，当该蠕虫攻陷了一个目标，就会扫描更多的目标。它可以在易受攻击的网络中肆意传播，感染数量呈指数级增长。我猜在过去的六个月中，位于俄罗斯的攻击者等待合适的时机来访问受感染的节点。

VirusTotal 上的[样本][11]

[原文地址][12]

[1]: http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3975&p=26827#p26827

[2]: http://blog.malwaremustdie.org/2016/04/mmd-0053-2016-bit-about-elfstd-irc-bot.html

[3]: http://blog.malwaremustdie.org/2016/04/mmd-0053-2016-bit-about-elfstd-irc-bot.html

[4]: http://radare.org/

[5]: https://youtu.be/58zr-1JU2OI

[6]: http://blog.malwaremustdie.org/2012/09/slight-changes-in-shellcode-dropper.html

[7]: https://github.com/radare/radare2/releases

[8]: http://radare.org/con/

[9]: https://youtu.be/IX6L7v8dXsk

[10]: http://www.speedguide.net/port.php?port=9000

[11]: https://www.virustotal.com/en/file/5685b086ce12ffede8814e303223a67eca476735dfe4e9e84b751354a5ea0232/analysis/1471967010/

[12]: http://blog.malwaremustdie.org/2016/08/mmd-0054-2016-pnscan-elf-worm-that.html