Linux 악성코드: 디도스 및 백도어 기능

디도스 및 백도어 기능이 있다고 알려진 리눅스 악성코드(Sha256: CBCCEEB358D712CDF6FA013778474876F816CCA33656BE78E5B5EB3DF24B5735)

악성코드는 Gnu C++로 작성되었으며, virustoal에 최초 등록된 시점은 2015년 12월로 확인되었음. 현재까지 virustoal에 등록된 백신제품중 33개 제품이 악성코드로 탐지된 것으로 확인 됨.

악성행위는 크게 디도스 공격 용도와 백도어 용도로 알려졌으며, 악성코드가 자동 시작되도록 init.d디렉터리에 생성 및 원본 악성코드를 ‘.sshd, find, lsof, netstat, ps’ 등등 다른 파일로 복사하는 행위가 확인 됨.

코드 분석을 위하여, IDA와  EBD를 사용하여 확인. EDB를 사용하여 진행할 때 악성코드를 데몬(daemon)프로세스로 만드는 코드가 있기 때문에, daemon함수에 대해서는 호출되지 않도록 NOP처리 하여 분석 진행

1.악성코드 HASH정보: 다양한 변종이 있어서 해쉬 값이 다소 다를 수 있지만, 주요 핵심 코드는 유사함.

screen-shot-2017-02-26-at-8-54-37-am

2. 주요 함수: main function에서 악성코드 주요 기능을 처리 하는 MainBeikong, MainBackdoor, Mainsystool, MainMonitor 함수

특히, MainBeikong함수는 악성코드를 데몬 프로세스로 생성, 복제, 그리고 자동시작 등록 등의 기능을 담당하는 코드로 구성되어 있음.

screen-shot-2017-02-26-at-6-02-35-pm

08062400번지에서 daemon함수를 호출하는데, daemon 프로세스는 자식 프로세스를 생성하면서, 현재 (부모)프로세스는 종료를 하기 때문에, 현재 프로세스를 대상으로 더 이상 분석 진행을 할 수 없게 됨. 코드 분석을 위하여, daemon 함수를 호출하는 영역을 NOP처리하여, 해당 함수가 호출되지 않도록 처리 함.

Screen Shot 2017-03-04 at 8.06.44 AM.png

 Screen Shot 2017-03-04 at 7.53.06 AM.png

screen-shot-2017-03-02-at-11-59-13-pm

자동시작 관련하여, DbSecurityspt라는 파일을 /etc/init.d/ 디렉터리에 생성 함.

screen-shot-2017-03-02-at-9-01-19-am

screen-shot-2017-02-26-at-6-04-48-pm

Screen Shot 2017-03-02 at 9.04.07 AM.png

3. MainProcess: C2 서버와 통신하여, 디도스 공격과 백도어 용도의 시스템 명령 수행하는 함수. 함수 인입 지점 xpacket.ko 커널 모듈을 insmod로딩하는 코드가 있으나, xpacket.ko 파일이 존재하지 않아서 로딩 실패 함.

Screen Shot 2017-03-04 at 8.27.43 AM.png

디도스 공격 관련 함수

screen-shot-2017-02-26-at-8-34-46-am

 

Advertisements

댓글은 닫혔습니다.