閱讀255 返回首頁    go 微軟 go windows

Redis漏洞攻擊植入木馬逆向分析

作者:雲盾攻防對抗團隊 - 夢特

背景

2015年11月10日,我們捕獲到黑客大規模利用Redis漏洞,獲取機器root權限,並植入木馬進行控製,雲係統發現大量異地登錄來自IP:104.219.234.226。異地登錄發現時雲盾控製台就會有告警信息,由於該漏洞危害嚴重,因此我們在2015年11月11日,短信電話聯係用戶修複Redis高危漏洞,2015年11月14日,我們雲盾係統檢測到大量受該漏洞影響淪為肉雞的機器進行DDOS攻擊,發現後雲盾係統已自動通知用戶。

木馬控製協議逆向分析

分析發現木馬作者,有2個控製協議未完成。

  • Connect協議有處理函數,但沒有功能,函數地址為0×8048545。 _1
  • sniffsniff協議沒有對應的處理函數,作者未實現該功能。

這裏筆者完全逆向分析後得到控製協議如下表:
_2

協議完成逆向後,筆者用Python寫了一個控製端,並實現全部協議控製木馬,如下圖,圖中公網也是我們自己的,所以圖片這打碼咯,筆者想說其實我們可以Middle-in-network,然後劫持牧馬人的木馬,並獲得控製權。

_3

木馬概述

文件MD5:9101E2250ACFA8A53066C5FCB06F9848

進程操作

木馬啟動,木馬接受1個參數,參數為要kill的進程PID。函數地址為0x8049C77

_3

木馬會啟動一個孫子進程執行木馬功能,然後當前進程退出。

文件操作

暴力關閉文件,關閉0到0xFFFF的文件,調用係統調用sys_close(),函數地址為0x8049C77。

_4

自我刪除,調用係統調用sys_readlink()讀取/proc/self/exe獲取文件路徑,sys_unlink()進行刪除,處理函數地址為0x80494F3。

_15

網絡操作

連接8.8.8.8的53端口,探測網絡是否連接到Internet,處理函數地址為0x8049B90。

_6

連接木馬控製端37.220.109.6的53端口,處理函數地址為0x8049C77。

_7

最後更新:2017-04-01 13:44:32

  上一篇:go Http請求連接池 - HttpClient 連接池
  下一篇:go JavaOne2015參會總結