Kaiji僵尸网络重出江湖,Ares黑客团伙浮出水面?(3)
时间:2023-03-03 01:14 来源:网络整理 作者:默认发布 点击:次
早期版本这两个参数仅通过C2指令控制,分别叫ipbegin和ipend。 Backdoor 后门模式标志位,影响C2选择。 Remarks Bot标记,默认为 "专业版"。 配置文件支持5种参数:Pid、Begin、End、Backdoor、Remarks。Pid为样本进程的Pid号;Begin和End用来记录一个IP范围,如果配置了这个参数,在后续某些ddos攻击中(syn、ack、udp),将优先使用这个范围的IP来替代源IP地址;Backdoor参数标记样本是否处于后门模式,可能影响样本C2的选择;Remarks记录的是样本的标记,默认情况下这个参数为中文 "专业版"。 除了Pid,其余参数都能通过C2指令来修改,并且这些参数将同步加密保存到本地的配置文件中,Bot在发送上线包时,同时会上报载入的配置参数。 3.2 隐藏手段 同旧版本 Kaiji 类似,Kaiji_Pro 也做了大量措施来确保样本隐蔽性与持久性,此部分沿用了大量旧版本 Kaiji 代码,但是由于这部分代码并未经过严谨测试,部分代码将导致一些预期之外的结果。Kaiji_Pro 的隐藏位置与启动方式如下表: 恶意程序 启动方式 /etc/opt.services.cfg 写入shell脚本/etc/32677,脚本每60秒启动一次opt.services.cfg,32677由样本启动运行。 /usr/lib/libgdi.so.0.8.1 写入shell脚本/.mod,脚本程序写入定时任务。 /lib/system-mark 注入"/etc/rc.d/init.d/"、"/etc/init.d/"、"/etc/rc.d/"路径下的shell脚本调用执行。 “/usr/bin/”下的ls、ps、ss、dir、netstat、find、lsof 用户执行命令时运行。 /tmp/seeintlog 通过伪装系统命令被执行时,在执行真正命令后调用。 /usr/sbin/ifconfig.cfg 注入"/etc/rc.local"、"/etc/rc.d/rc.local"、"/etc/init.d/boot.local"文件运行。 /etc/profile.d/bash_cfg 写入"/etc/profile.d/bash_cfg.sh"脚本调用执行。 /boot/System.mod l 注入服务配置文件 "/usr/lib/systemd/system/quotaoff.service",通过服务启动 l 使用audit2allow工具,添加为SELinux的策略模块并使用semodule安装 l 添加dns-tcp4服务,其配置文件指向恶意程序 3.3 新变种BUG Kaiji_Pro 样本中存在多个BUG。 |