作者:云盾攻防对抗团队 - 梦特
2015年11月10日,我们捕获到黑客大规模利用redis漏洞,获取机器root权限,并植入木马进行控制,云系统发现大量异地登录来自ip:104.219.234.226。异地登录发现时云盾控制台就会有告警信息,由于该漏洞危害严重,因此我们在2015年11月11日,短信电话联系用户修复redis高危漏洞,2015年11月14日,我们云盾系统检测到大量受该漏洞影响沦为肉鸡的机器进行ddos攻击,发现后云盾系统已自动通知用户。
分析发现木马作者,有2个控制协议未完成。
connect协议有处理函数,但没有功能,函数地址为0×8048545。
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiIn5GcuITZldTNjJTZ1gjZmJ2NmNTO0MzN4IjMwEjZwkTN2ITNxgDOkBjYyE2LcNXZslmZxl3Lc12bj5ycj5Wd5lGbh5ycz92Lc9CX6MHc0RHaiojIsJye.png)
sniffsniff协议没有对应的处理函数,作者未实现该功能。
这里笔者完全逆向分析后得到控制协议如下表:
协议完成逆向后,笔者用python写了一个控制端,并实现全部协议控制木马,如下图,图中公网也是我们自己的,所以图片这打码咯,笔者想说其实我们可以middle-in-network,然后劫持牧马人的木马,并获得控制权。
文件md5:9101e2250acfa8a53066c5fcb06f9848
木马启动,木马接受1个参数,参数为要kill的进程pid。函数地址为0x8049c77
木马会启动一个孙子进程执行木马功能,然后当前进程退出。
暴力关闭文件,关闭0到0xffff的文件,调用系统调用sys_close(),函数地址为0x8049c77。
自我删除,调用系统调用sys_readlink()读取/proc/self/exe获取文件路径,sys_unlink()进行删除,处理函数地址为0x80494f3。
连接8.8.8.8的53端口,探测网络是否连接到internet,处理函数地址为0x8049b90。
连接木马控制端37.220.109.6的53端口,处理函数地址为0x8049c77。