122期报告汇总
安天发布《Trojan[DDoS]/Linux.Agent.g 分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现一 例 Linux 平台的具有 DDoS 功能的木马样 本,该木马会在 Linux 系统中添加自身为 启动项,并开启后门线程,守护线程,远 程下载线程等恶意行为。
木马启动后,首先将其工作目录写进 环境变量,之后将加密的工作路径和需要 用的 linux 命令通过异或解密。然后对比 参数数值,如果参数数值等于 2 则删除文 件并从开机启动项中剔除。如果参数等于 3 则向自身数据末端加入一串随机的字符 串以改变 md5 值,之后分别复制到 /usr/bin、/bin、/tmp 目 录 下 并 执 行。 然 后 确 定自己是否在指定的工作目录下,如果不 是则继续改变 MD5 值,分别复制到 /usr/ bin、/bin、/tmp 目录下并执行。接着将自 身添加为开启启动项并写入环境变量。然 后开启守护线程,后门线程,远程下载线 程。后门线程先进行 DNS 请求,之后将 主机的内存、cpu 等信息加密传送给 C&C 服务器,循环运行且从另一个域名通过 GET 请求下载文件并执行。最后循环执行 以 下 操 作: 复 制 到 /usr/bin、/bin、/tmp 目录,运行、删除文件,保证不被轻易删 除并等待接收控制端指令,恶意样本可构造 UDP、TCP ACK、TCP SYN 报文,用 于发起 DDoS 攻击。
安天 CERT 提醒广大网络使用者, 要提高网络安全意识,在日常工作中要及 时进行系统更新和漏洞修复,不要随意下 载非正版的应用软件、非官方游戏、注册 机等。收发邮件时要确认收发来源是否可 靠,更加不要随意点击或者复制邮件中的 网址,不要轻易下载来源不明的附件,发 现网络异常要提高警惕并及时采取应对措 施,养成及时更新操作系统和软件应用的 好习惯。目前,安天追影产品已经实现了 对该类木马样本的检出。
