Xor.DDos僵尸网络详解

#############################

免责声明：本文仅作收藏学习之用，亦希望大家以遵守《网络安全法》相关法律为前提学习，切勿用于非法犯罪活动，对于恶意使用造成的损失，和本人及作者无关。

##############################

Xor.DDoS 起源于中国，是一种专门感染Linux操作系统的病毒，用来组建进行DDoS攻击的僵尸网络。自2014年10月被安全研究人员首次曝光之后，Xor.DDoS病毒就在Linux系统僵尸网络中异常活跃，不断对网络进行感染和攻击，扩大僵尸网络规模。

所谓僵尸网络，就是指众多受感染计算机在无知觉的情况下成为攻击者的利用工具，像僵尸一样听从攻击者的控制和指挥。

据SIRT情报小组称，Xor.DDoS的DDoS攻击带宽已经从每秒数十亿字节提升到每秒150亿字节以上，可造成巨大的破坏力。Xor.DDoS僵尸网络每天至少瞄准20个网站，且将近90%的目标站点位于亚洲，游戏行业是其主要的攻击目标，其次是教育机构。

行为分析

1、感染方式

Xor.DDoS病毒主要针对Linux系统，通过对SSH端口弱密码进行暴力破解感染系统，感染后病毒自动完成安装，组成受攻击者控制的DDoS僵尸网络节点。

2、Xor.DDoS僵尸网络

病毒从样本中指定的C&C服务器列表中选择存活的C&C服务器进行连接并接受控制，每种病毒的C&C服务器都有多个，我们控制了其中一个样本的C&C服务器，控制端直接由图形界面进行手动操作。

我们搜集了多个Xor.DDoS病毒样本，每个样本的的C&C服务器均不相同，有些甚至来自美国、香港，通过对控制的C&C服务器进行分析，Xor.DDoS现在可能分成多个僵尸网络由不同的黑客所控制，而不是归属一个统一的僵尸网络。

3、功能分析

Xor.DDoS通过在/etc/init.d/、/etc/rcX.d（X为1-5）下设置自启动脚本，在/etc/cron.hourly/下设置定时脚本来保证自己的启动与运行，即使进程都被杀死也可以重新“活过来”。

/etc/init.d/下的启动脚本

/etc/rc1.d/下的启动连接

/etc/cron.hourly/下的定时脚本

该病毒含有rootkit模块，即先释放一个内核模块，再通过insmod插入到内核中，最后调用内核模块中功能实现端口隐藏、文件隐藏、进程隐藏等功能。不过捕获的样本中直接跳过了内核模块的安装和使用，可能是内核版本与编写者的不相同不兼容导致的。

虽然rootkit功能未能使用，病毒还是通过修改argv的方式来修改进程名，达到病毒进程伪装的目的，病毒的进程名会被修改为以下随机一个命令：

cat resolv.conf  、sleep 1、sh、cd /etc、bash、echo “find”、su、ifconfig eth0、ps-ef、ifconfig、ls、route -n、ls -la、gnome-terminal、top、id、netstat -an、who、netstat -antop、whoami、grep “A”、pwd、uptime

完成自启动设置、定时启动设置、进程隐藏后病毒启动多个线程可下载文件并执行，接受控制者指令等。

病毒随后会多次拷贝自身到/boot/目录中并启动，增加查杀难度。

病毒变种

对更多的Xor.DDoS样本进行分析，发现Xor.DDoS病毒存在多个版本，它们在/etc/hourly/目录下设置的定时器名称有所不同，已发现cron.sh、udev.sh、kill.sh等多种定时脚本名称；用于备份病毒的文件也有多种，已发现/lib/udev/udev、/lib/libgcc4.4.so等多种病毒备份名称。病毒用于复制拷贝的目录有/boot/、/bin/、/usr/bin/等多个。

同时各个样本的病毒控制服务器也均不相同，每个病毒可能属于攻击者的不同代理服务器，或者属于不同的僵尸网络所控制。

防御与查杀

该病毒主要由SSH端口密码破解感染，可以通过关闭端口、设置强密码、部署安全设备来进行防御。

由于受该病毒感染的主机较多，以下提供病毒的检查与清除方法。

1、检查/etc/init.d/目录，删除其中的为随机名称的启动脚本，内容一般形如：

/usr/bin/olntuwaiaj目录和程序名称可变。

2、检查/etc/cron.hourly/目录，删除其中的内容类似如下的定时脚本，脚本名称可能是前文提到的cron.sh、udev.sh或kill.sh等，内容如下：

      最后两条命令中的文件名及路径可能发生变化。

3、重新启动系统，删除/boot/、/bin/、/usr/bin/目录下的随机名称的病毒，删除/etc/rc1.d/到/etc/rc5.d/中连接到/etc/init.d/目录中病毒启动脚本的链接。

至此该病毒就完全清理了，最后别忘了加强SSH密码，免受Xor.DDoS的再次光临。

原文始发于微信公众号（菜鸟小新）：Xor.DDos僵尸网络详解